Matanbuchus:具有邪恶企图的服务型恶意软件

admin 2021年6月29日22:14:56评论156 views字数 5359阅读17分51秒阅读模式

1

摘要

Unit 42 的研究人员专注于对非传统来源的调查。所谓非传统来源通常包括地下市场和网站,具体来说有Tor网络论坛,电报和其他市场。Unit42调查了一个名为BelialDemon的威胁行动者,BelialDemon是几个地下论坛和市场的成员。

2021年2月,BelialDemon发布了一款名为Matanbuchus Loader的新型服务型恶意软件(MaaS),初始租金即为2500美元。恶意软件加载器是一种恶意软件,通常会从命令和控制(C2)服务器中下载第二阶段的恶意软件。


Matanbuchus 下载器

BelialDemon发布的新型服务型恶意软件

Matanbuchus特点:

1

在内存中启动.exe或.dll文件的能力

2

利用schtasks.exe添加或修改计划任务的能力

3

启动自定义PowerShell命令的能力

4

 利用独立的可执行文件加载DLL的能力


Unit 42 同时还发现了几个受到Matanbuchus影响的组织,包括美国的一所大型大学和一所高中,比利时的一个高科技组织。BelialDemon还喜欢使用圣经主题,Belial,和Matanbuchus 都取自圣经里的故事。
下文将详细介绍Matanbuchus, BelialDemon,以及其恶意软件的基本结构。

Matanbuchus:具有邪恶企图的服务型恶意软件


2

BeliaDemon概述

如果我们回顾历史,就会发现BelialDemon参与了恶意软件加载器的开发,Triumph加载器(这种加载器曾在几个论坛上发布,并被销售)的主要开发人员就是BelialDemon。

Matanbuchus:具有邪恶企图的服务型恶意软件

1 BelialDemon在论坛张贴的一个加载器

根据图1中所示的帖子,研究人员尝试通过一系列手段来定位文件,以便更好地理解恶意软件的功能,并分析其在野外的活动,来为用户提供更好的保护和丰富的情报。从图中也可以发现Triumph加载器的初始租金为2500美元。

Matanbuchus:具有邪恶企图的服务型恶意软件

发布在论坛上的Matanbuchus售卖信息

在已经知道了恶意软件的名称Matanbuchus后,研究人员随后开始寻找在野使用的Matanbuchus样本,发现了一个名为dgg.dll的文件,该DLL文件的下载网址为hxxp://idea-secure-login[.]com,通过观察其中的一些字符串,印证了研究人员的思路,如下图:

Matanbuchus:具有邪恶企图的服务型恶意软件

正如图一中恶意软件研究人员在论坛上所说的那样,这个恶意软件下载器具有前文摘要中所述的几个特征。
那么在野Matanbuchus到底是什么样子呢?
首先,在识别了释放Matanbuchus下载器Excel文档后,研究人员开始了对该文件的分析。在打开这个Excel文档后,会提示需要启用宏来查看文件的实际内容:

Matanbuchus:具有邪恶企图的服务型恶意软件

4 Excel文档提示的内容

该文件利用了一种最近常用的Microsoft Office文档攻击技术。具体来说:现在攻击者在受害者系统上启动恶意负载的途径,已经从以前的利用Word文档转变为了现在的利用Excel文档进行恶意负载的释放。之所以发生这种转变,是因为使用Excel的内置函数,可以在整个电子表格单元格中存储分布的代码,这提供了一种妨碍分析和检测的原生混淆方法。

Matanbuchus:具有邪恶企图的服务型恶意软件

隐藏在单元格中的函数

在执行的时候,这些数据将会拼接在一起以完成攻击者的目的。例如,图中B列的一些有数据的单元格引用其他单元格的数据。

这个GOTO函数告诉Excel选择数第一百列以上、1595行以下的特定单元格。这种操作通常被链接在一起执行,在这个文件中,最终的动作是进行一个简单的文件下载和执行。通过删除文档中的空白单元格并检查生成的字符串,研究人员发现了此文件的许多有趣特点。

Matanbuchus:具有邪恶企图的服务型恶意软件

从图7中可以看到将文件下载到特定位置函数的一些崩溃信息提示。从idea-secure-login[.]com下载的ddg.dll将会被保存为hcRlCTg.dll。然后执行DDL中名为RunDLL32_Install_COM32的导出函数,这和前面观察到的结果相符。本例中的DLL就是Matanbuchus Loader DLL文件。
Matanbuchus:具有邪恶企图的服务型恶意软件


3

Matanbuchus概述

总的来说,Matanbuchus在恶意软件的运行周期中使用了两个dll。两个DLL都被加壳了,第一个DLL的内部名称是MatanbuchusDroper.dll,而第二个DLL的内部名称是Matanbuchus.dll。两个DLL的基地址都是0x10000000,并在整个执行过程中使用硬编码地址方式。

一旦Excel文件从idea-secure-login[.]com下载了初始DLL—MatanbuchusDroper.dll (SHA256: 7fbaf7420943d4aa327bb82a357cd31ca92c7c83277f73a195d45bd18365cfce),Excel宏将会启动并调用RunDLL32_Install_COM32导出函数。

顾名思义,第一个DLL的主要功能就是删除Matanbuchus DLL。恶意DLL会首先执行反虚拟机和反调试功能,然后会进行一系列API调用:GetCursorPos、IsProcessorFeaturePresent、cpuid、GetSystemTimeAsFileTime和queryperformanceccounter,这些API调用可以帮助恶意软件确定其所处环境是否为受控环境(是否为一个沙箱)。
最终,MatanbuchusDroper.dll通过解压获得URL,并通过这个URL下载Matanbuchus.dll,随后将其伪装为一个名为AveBelial.xmlXML文件,保存在UsersADMINI~1AppDataLocalTempRun_32DLL_COM32shell96.dll中。
Matanbuchus.dll的持久化是通过创建一个计划任务来运行其特定导出函数来实现的。

Matanbuchus:具有邪恶企图的服务型恶意软件

需要注意的是,这个恶意导出函数RunDLL32_Install_COM32与系统良性DLL的导出函数Run_32DLL_COM32十分类似,以达到其混淆视线的目的。
Matanbuchus.dllMatanbuchusDroper.dll十分类似,都使用多种类型的混淆和编码来隐藏字符串和可执行代码,以防止静态分析。但是Matanbuchus.dllMatanbuchusDroper.dl不同的是,Matanbuchus.dll在脱壳后采取了额外的步骤来隐藏其利用的DLL导出函数。从下图可以看到,Matanbuchus.dll正在构建字符串Shell32.dll

Matanbuchus:具有邪恶企图的服务型恶意软件

13构建字符串Shell32.dll

如果观察Matanbuchus.dll解码的字符串,会发现诸如:IPHLPAPI.DLL,ws2_32.dll, wininet.dllshlwapi.dll。在进行恶意软件分析时,这些字符串很常见,因为它们都是读写文件或进行网络通信的常用DLL
最后,这个DLL收集有关系统的各种信息,如主机名、操作系统细节、网络适配器等,然后开始执行远控功能,恶意软件开始与C2服务器通信。然后它会发送一个HTTP POSTkntwtopnbt/8r5kudwrc8/gate[.]php。如下图所示,因为这个POST请求的user-agent字段并不是真实的字段,而是一段数据,所以很容易检测。
这个请求包含的数据是使用Base64编码的JSON数组,很有可能会包含前面收集的主机信息。

Matanbuchus:具有邪恶企图的服务型恶意软件

Matanbuchus:具有邪恶企图的服务型恶意软件


4

基础设施概况

研究人员发现恶意域名(Matanbuchus DLL从此域名下载) 解析到归属于谷歌公司的IP地址(可能是谷歌云服务器)。并且自2021年2月初以来已经解析了许多IP地址,这些时间点与BelialDemon发布新恶意软件的时间一致。此外,Excel释放的第一个DLL访问的初始域(idea-secure-login[.]com)也解析到了相同的IP地址。

Matanbuchus:具有邪恶企图的服务型恶意软件

16 eonsabode[.]atDNS解析

每一个独立IP对应的解析域名不止一个,从而可以对恶意活动进行分组。

Matanbuchus:具有邪恶企图的服务型恶意软件

可以非常明显的观察到的模式包括使用在奥地利ccTLD注册的域名“at”,在域名中使用“24”。

以及使用单词“login”、“online”、“sso”和“secure”等。这些行为模式都与BelialDemon的做法一致。为了分析自2021年2月以来的原始恶意域名与每个IP的关联,研究人员绘制了一个IP和域的关联图如下:


Matanbuchus:具有邪恶企图的服务型恶意软件

20 IP和域的连接图

基于不同的模式,对相应的恶意域名进行分类:

Matanbuchus:具有邪恶企图的服务型恶意软件

Matanbuchus:具有邪恶企图的服务型恶意软件


5

总结


本文主要讲述的是如何通过观察在野威胁来生成威胁情报,以及如何将看似不相关的数据建立关联,从而在受到影响之前加强分析、提取指标并改进相应组织的防御体系。

感染指标

Note
Value

Excel Dropper 

SHA256

41727fc99b9d99abd7183f6eec9052f86de076c04056e224ac366762c361afda

Matanbuchus 

Loader 

SHA256

7fbaf7420943d4aa327bb82a357cd31ca92c7c83277f73a195d45bd18365cfce

Matanbuchus 

Main SHA256

af356a39a298f6a48f8091afc2f2fc0639338b11813f4f4bd05aba4e65d2bbe3

Matanbuchus 

Loader 

Domain

idea-secure-login[.]com

Matanbuchus 

Loader URL

idea-secure-login[.]com/3/ddg.dll

Matanbuchus 

Main Domain

eonsabode[.]at

Matanbuchus 

Main URL

eonsabode[.]at/kntwtopnbt/iqiw922vv5/AveBelial.xml

Matanbuchus 

Loader 

FileName

ddg.dll

hcRlcTg.dll


Matanbuchus 

Main FileName

shell96.dll
Matanbuchus
Loader Export
RunDLL32_Install_COM32
Matanbuchus
Main Export
Run_32DLL_COM32
Matanbuchus
Loader
CommandLine
schtasks.exe /Create /SC MINUTE /MO 2 /TN Run_32DLL_COM32 /TR "C:WindowsSystem32rundll32.exe C:UsersAdminAppDataLocalTempRun_32DLL_COM32shell96.dll,Run_32DLL_COM32"
Matanbuchus
Main FilePath
C:UsersAdminAppDataLocalTempRun_32DLL_COM32

Additional
Malicious
Domains

biznesplanet-bnpparlba[.]com


biznesplanet-parlbabnp[.]com

biznesplanet-parlbas[.]com

biznesplanet.parlbabnp[.]com

login-biznesplanet[.]com

bos24-logowan[.]com

bos24-logowanie[.]com

bos24-online[.]com

ibos-online24[.]com

ibos24-login[.]com

ibos24-online[.]com

login-bos24[.]com

citationsherbe[.]at

flowsrectifie[.]at

odatingactualiz[.]at

flash-player-update[.]digital

flash-update[.]digital

flashplayer-update[.]digital

flashupdate[.]digital

player-update[.]digital

playerupdate[.]digital

upgrade-flash-player[.]digital

sso-cloud-idea[.]com

dostawapapajohns[.]online

onlinepapajohns[.]online

papa-johns-dostawa[.]digital

papa-johns-dostawa[.]online

login.wallet-secure[.]org

wallet-secure[.]biz

wallet-secure[.]me

wallet-secure[.]org

wallet-secure[.]site

wallet-secure[.]xyz

Matanbuchus:具有邪恶企图的服务型恶意软件

参考链接:https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/

本文为CNTIC整理,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。

Matanbuchus:具有邪恶企图的服务型恶意软件


本文始发于微信公众号(国家网络威胁情报共享开放平台):Matanbuchus:具有邪恶企图的服务型恶意软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年6月29日22:14:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Matanbuchus:具有邪恶企图的服务型恶意软件http://cn-sec.com/archives/409288.html

发表评论

匿名网友 填写信息