新型恶意软件即服务 (MaaS):Matanbuchus

  • A+
所属分类:安全新闻

摘要

Unit42的研究人员经常花时间调查其所谓的非传统来源。非传统来源通常包括暗网,从Tor网络到Telegram频道和其它地下网站,范围广泛。我们调查的一个案例涉及一个叫Belial Demon的威胁行为者,他是暗网中多个地下市场和网站的成员。

2021年 2 月,Belial Demon 宣传一种名为“Matanbuchus Loader”的新型恶意软件即服务(MaaS),并收取2500美元的初始租金。恶意软件loaders(加载器)通常是恶意软件,它将从命令和控制 (C2) 基础设施中投放第二阶段的恶意软件。Matanbuchus具有以下功能:

  • 在内存中启动.exe 或 .dll 文件。

  • 能够利用schtasks.exe 添加或修改计划任务。

  • 能够启动自定义PowerShell 命令。

  • 当攻击者无法以其它方式加载 DLL 时,能够利用独立的可执行文件。

 

新型恶意软件即服务 (MaaS):Matanbuchus


我们发现有几个组织受到Matanbuchus的影响,包括美国的几所大型大学和高中,以及比利时的一个高科技公司。

观察了Belial Demon在暗网中的活动后,我们注意到他们使用了一个特殊的圣经主题:他们的名字Belial,连同他们的新loader的名字Matanbuchus,都源于《以赛亚书》2:4 中的“以赛亚的升天”,这似乎是他们活动的一个比较合适的主题。

本文介绍了Matanbuchus、Belial Demon 和恶意软件基础设施。

 

 

BelialDemon概述

在此之前,Belial Demon 参与了恶意软件加载器的开发,并被认为是TriumphLoader的主要开发者,TriumphLoader 是一种之前在暗网上的多个网站上发布的加载器,并且他在销售此类恶意软件方面有着良好的记录。

新型恶意软件即服务 (MaaS):Matanbuchus

图1.Belial Demon 介绍加载器的帖子

 

通过查看图1这样的帖子,并通过多种方式定位文件,我们对恶意软件的功能有了更深入的了解,并分析了其在野活动,以便更好地实施保护和丰富情报。BelialDemon 招募了三个人作为 MaaS 的一部分,初始租金为 2500 美元。

新型恶意软件即服务 (MaaS):Matanbuchus

图2. 暗网上关于Matanbuchus销售的帖子


由于我们直接从源头获得了恶意软件,因此我们随后开始寻找在野的 Matanbuchus 样本。在寻找 Matanbuchus 的样本时,在野发现了一个名为ddg.dll的文件,该文件是通过hxxp://idea-secure-login[.]com投放的。其中包含的一些字符串表明我们走在正确的研究轨道上。

新型恶意软件即服务 (MaaS):Matanbuchus

图3.MatanbuchusDroper.dll的字符串

 

正如恶意软件开发者所说,该加载器具有以下特点:

  • 能够在内存中启动一个.exe或.dll文件。

  • 能够利用schtasks.exe来添加或修改计划任务。

  • 能够启动自定义的PowerShell命令。

  • 当攻击者无法以其它方式加载 DLL 时,能够利用独立的可执行文件。

 


Excel Dropper

在确定Excel文档(SHA256:41727fc99b9d99abd7183f6eec9052f86de076c04056e224ac366762c361afda)是投放Matanbuchus Loader DLL的攻击初始载体后,我们开始对这个文件进行分析。当打开Excel文件时,你会收到这样的通知:需要启用宏才能查看文件的实际内容。

新型恶意软件即服务 (MaaS):Matanbuchus

图 4.虚假的 Excel 警告

 

该文件使用了一种最近在利用 Microsoft Office 文档进行攻击时更受青睐的技术。具体来说,当试图在受害者的系统上启动恶意Payload时,Microsoft Word 已经转变为 Microsoft Excel。这种转变是因为,使用 Excel 的内置函数,可以将代码分布在整个电子表格的单元格中,提供一种原生的混淆,阻碍了分析和检测。这被通俗地称为Excel 4.0宏。

新型恶意软件即服务 (MaaS):Matanbuchus

图 5.隐藏的工作表函数


包含数据的单元格被埋在在一片空白的单元格海洋中,这些空白单元格在执行时会将信息拼凑在一起。在上面的示例中,请注意 B 列中的一些可见单元格如何引用工作表中的列和行。

新型恶意软件即服务 (MaaS):Matanbuchus

图 6.Excel 函数示例


这个GOTO函数告诉 Excel 选择一个超过数百列和向下 1595 行的特定单元格。这些操作拼接在一起,可以在本文档中完成文件的简单下载和执行。

通过删除文档中的空白单元格并查看生成的字符串,将看到许多WildFire恶意软件分析引擎观察到的有趣的行为,这些行为与文件的行为相匹配。

新型恶意软件即服务 (MaaS):Matanbuchus

图 7.Excel V4 中提取的宏字符串

 

 

从表面上看,我们可以看到下载和执行文件的功能被拆分在一个地方。在这种情况下,ddg.dll将从idea-secure-login[.]com下载,并在本地保存为hcRlCTg.dll。然后,DLL中名为RunDLL32_Install_COM32的 export被执行。

如前所述,这与 WildFire 中观察到的预期行为一致。

新型恶意软件即服务 (MaaS):Matanbuchus

图 8.WildFire记录的活动


这里的 DLL 是指 Matanbuchus Loader DLL文件。

 


Matanbuchus概述

在下文中,我们将简要回顾Matanbuchus恶意软件,然后查看使用的基础设施。

总的来说,Matanbuchus在恶意软件的运行周期中使用两个DLL。两个DLL都是打包的,但应该注意的是,第一个DLL的内部名称是MatanbuchusDroper.dll,而第二个DLL的名称是Matanbuchus.dll。这不是一种非常隐蔽的方法,因此分析人员很容易发现。此外,这两个DLL都基于0x10000000,并在整个执行过程中使用硬编码的地址。

一旦Excel从idea-secure-login[.]com网站下载了第一个DLL,MatanbuchusDroper.dll(SHA256:7fbaf7420943d4aa327bb82a357cd31ca92c7c83277f73a195d45bd18365cfce),Excel宏将启动并调用DLL中标为RunDLL32_Install_COM32的 export。

顾名思义,第一个 DLL 的主要功能是投放主要的 Matanbuchus DLL。但是,在此之前,它会进行一些通常在反虚拟化和反调试检查中观察到的 API 调用,例如GetCursorPos、IsProcessorFeaturePresent、cpuid、GetSystemTimeAsFileTime和QueryPerformanceCounter。这些可以分析系统以向恶意软件提供指标,使其能够确定它是否在受控环境(即沙箱)中运行。

新型恶意软件即服务 (MaaS):Matanbuchus

图9.IsProcessorFeaturePresent 的API调用

 

新型恶意软件即服务 (MaaS):Matanbuchus

图 10.cpuid 的API调用

之后,DLL将进入下一阶段,解压缩URL以下载主要的Matanbuchus DLL,伪装成一个名为AveBelial.xml的XML文件。然后将这个下载的文件保存到UsersADMINI~1AppDataLocalTempRun_32DLL_COM32shell96.dll。这里使用名称 shell96 可能是因为它很容易与本机系统文件混在一起。如果这是真的,shell32和shell64后面会跟着shell96,按照命名约定,这是很自然的想法。

新型恶意软件即服务 (MaaS):Matanbuchus

图 11.Matanbuchus DLL下载


新型恶意软件即服务 (MaaS):Matanbuchus

图 12.将shell96.dll写入磁盘


持久性是通过创建一个计划任务来运行新的DLL,以及调用特定的 export来建立的。

新型恶意软件即服务 (MaaS):Matanbuchus

图 13.持久性计划任务


尝试将DLL的export名称与DLL中的常见单词混合:RunDLL32_Install_COM32 和 Run_32DLL_COM32。这延续了上述shell96的趋势。

样本Matanbuchus.dll(SHA256:af356a39a298f6a48f8091afc2f2fc0639338b11813f4f4bd05aba4e65d2bbe3),与第一个DLL类似,使用多种类型的混淆和编码来隐藏字符串和可执行代码,以避免静态分析。与第一个不同的是,在解压代码后进行了其它的操作,以进一步隐藏它所利用的DLL的功能。在图14中,你可以看到该样本正在构建一个字符串Shell32.dll。

新型恶意软件即服务 (MaaS):Matanbuchus

图 14.构建“ Shell32.dl l”字符串


如果查看解码字符串的DLL名称:IPHLPAPI.DLL、ws2_32.dll、wininet.dll和shlwapi.dll,这并不奇怪,因为这些 DLL 通常表示文件写入或基于网络的通信等行为,并且经常在恶意软件分析过程中出现。

最后,这个DLL收集有关系统的各种信息,如主机名、操作系统细节、网络适配器等,然后再进入熟悉的远程访问木马 (RAT) 例程。该恶意软件开始与下载DLL的同一主机--eonsabode[.at]进行通信。然后,它向kntwtopnbt/8r5kudwrc8/gate[.]php发送一个HTTP POST请求,没有referrer字段,以及一个包含数据但不是一个实际的user-agent的user-agent字段,这使得它非常明显,且很容易被发现。

新型恶意软件即服务 (MaaS):Matanbuchus

图 15.网络流量HTTP POST


此请求是一个 Base64 编码的 JSON 数组,其中包含进一步编码的数据。这很可能包含主机分析信息。

新型恶意软件即服务 (MaaS):Matanbuchus

图 16.Base64解码的C2流量

 


基础设施

将焦点转移到最终Matanbuchus DLL的来源域(eonsabode[.]at),我们可以看到它解析到一个IP地址,并且自 2021 年 2 月上旬以来已解析为多个 IP 地址。这与我们观察到的BelialDemon宣传其新恶意软件的时间一致。此外,Excel v4宏为第一个Matanbuchus DLL访问的初始域(idea-secure-login[.com])也托管在这些相同的IP地址上。

新型恶意软件即服务 (MaaS):Matanbuchus

图 17.eonsabode[.]at 的DNS 解析

查看单个 IP 地址及其以前的名称解析,我们会看到每个IP 地址存在的域开始出现多种模式,这些模式允许进一步对恶意活动进行分组。

例如,考虑以下三个最新的 IP 地址及其名称解析的子集。

34.94.151[.] 129 :

新型恶意软件即服务 (MaaS):Matanbuchus

 

34.106.243[.] 174 :

新型恶意软件即服务 (MaaS):Matanbuchus


 

34.105.89[.] 82 :


 

新型恶意软件即服务 (MaaS):Matanbuchus


 

这里可以立即观察到的模式包括使用奥地利国家代码顶级域名 "at "注册的域名,在域名中使用 "24",以及使用"login" 、"online" 、"sso" 和 "secure"等词。这些都与BelialDemon以前试图通过使用" good "字来隐藏的做法相一致。

鉴于此,我们提取了自2021年2月以来原始恶意域解析的每个IP 的所有被动 DNS 名称解析。关注具有多个连接的域,下图是一个相关域分组图。

新型恶意软件即服务 (MaaS):Matanbuchus

 

图 18. IP 和域的连接图

 

这个域子集包含许多基于域名各个方面的集群。我们在下面分别对它们进行了集群。

模式:biznesplanet 的主题

新型恶意软件即服务 (MaaS):Matanbuchus


模式:“24”的用法

新型恶意软件即服务 (MaaS):Matanbuchus


 

模式:奥地利 ccTLD 的使用

新型恶意软件即服务 (MaaS):Matanbuchus


 

模式:伪造的 AdobeFlash 更新

新型恶意软件即服务 (MaaS):Matanbuchus


模式:“Idea”的用法

新型恶意软件即服务 (MaaS):Matanbuchus


模式:“Wallet”的主题,可能与加密有关

新型恶意软件即服务 (MaaS):Matanbuchus


这些域名和主题似乎主要针对网络钓鱼,虽然这些域名不是都与Matanbuchus恶意软件有关,但它们似乎都是恶意的,而且很可能由相同的攻击者操作,正如Malware Hunter Team在Twitter上表示的那样,"假的Flash更新 "与恶意APK文件相关联,进一步支持了这一理论。其中一些域可能是为未来的活动准备的,并且可能还没有被使用过。

 

 

结论

在本文中,我们介绍了如何通过基于现场的威胁搜寻来生成威胁情报。通过这些调查,我们将看似不连贯的小数据联系起来,以帮助加强分析、得出指标并提高防御能力,希望能够在组织受到影响之前对其进行保护。


 

通用安全建议

企业应该加强企业邮箱的安全防护,使用安全邮件网关或反垃圾邮件防火墙。

加强安全意识,警惕网络钓鱼邮件攻击。如收到可疑邮件或文档,不相信、不点击、不理会,尤其是不要打开其中的附件和链接,因为这可能导致数据被窃取或感染恶意软件。

非必要不要启用宏,因为它经常被作为恶意软件初始感染方法之一。

安装杀毒软件或终端保护软件,实时检测发现终端安全威胁。

保护敏感信息。不要将敏感信息发布到互联网上,用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据,有针对性的向用户发送钓鱼邮件。

及时修复系统或应用的安全漏洞,避免被恶意软件利用。

 

 

IoC

Excel Dropper SHA256

41727fc99b9d99abd7183f6eec9052f86de076c04056e224ac366762c361afda

Matanbuchus Loader  SHA256

7fbaf7420943d4aa327bb82a357cd31ca92c7c83277f73a195d45bd18365cfce

Matanbuchus Main SHA256

af356a39a298f6a48f8091afc2f2fc0639338b11813f4f4bd05aba4e65d2bbe3

Matanbuchus Loader  Domain

idea-secure-login[.]com

Matanbuchus Loader URL

idea-secure-login[.]com/3/ddg.dll

Matanbuchus Main Domain

eonsabode[.]at

Matanbuchus Main URL

eonsabode[.]at/kntwtopnbt/iqiw922vv5/AveBelial.xml

Matanbuchus Loader  FileName

ddg.dll

Matanbuchus Loader  FileName

hcRlcTg.dll

Matanbuchus Main  FileName

shell96.dll

Matanbuchus Loader  Export

RunDLL32_Install_COM32

Matanbuchus Main Export

Run_32DLL_COM32

Matanbuchus Loader  CommandLine

schtasks.exe /Create  /SC MINUTE /MO 2 /TN Run_32DLL_COM32 /TR  "C:WindowsSystem32rundll32.exe  C:UsersAdminAppDataLocalTempRun_32DLL_COM32shell96.dll,Run_32DLL_COM32"

Matanbuchus Main  FilePath

C:UsersAdminAppDataLocalTempRun_32DLL_COM32

Additional Malicious  Domains

biznesplanet-bnpparlba[.]com

biznesplanet-parlbabnp[.]com

biznesplanet-parlbas[.]com

biznesplanet.parlbabnp[.]com

login-biznesplanet[.]com

bos24-logowan[.]com

bos24-logowanie[.]com

bos24-online[.]com

ibos-online24[.]com

ibos24-login[.]com

ibos24-online[.]com

login-bos24[.]com

citationsherbe[.]at

flowsrectifie[.]at

odatingactualiz[.]at

flash-player-update[.]digital

flash-update[.]digital

flashplayer-update[.]digital

flashupdate[.]digital

player-update[.]digital

playerupdate[.]digital

upgrade-flash-player[.]digital

sso-cloud-idea[.]com

dostawapapajohns[.]online

onlinepapajohns[.]online

papa-johns-dostawa[.]digital

papa-johns-dostawa[.]online

login.wallet-secure[.]org

wallet-secure[.]biz

wallet-secure[.]me

wallet-secure[.]org

wallet-secure[.]site

wallet-secure[.]xyz

 

原文链接

https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/

 

 



本文始发于微信公众号(维他命安全):新型恶意软件即服务 (MaaS):Matanbuchus

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: