近日,Fortinet旗下FortiGuard实验室的威胁研究小组发现了一种新型安卓恶意软件投放器,负责传递最终有效载荷。由于它们通常包含一个波兰语字符串“Kolko_i_krzyzyk”,英语译为TicTacToe,因此被命名为TicTacToe Dropper。目前研究人员发现TicTacToe Dropper在Windows设备上投放各种恶意软件,其中包括著名的包括AgentTesla和LokiBot。
这些投放器在加载和初始执行期间对最终有效载荷进行了混淆,包括Leonem、AgentTesla、SnakeLogger、LokiBot、Remcos、RemLoader、Sabsik、Taskun、Androm和Upatre。
据 FortiGuard 称,TicTacToe dropper 在过去 12 个月内分发了多个最终阶段的远程访问工具 ( RAT ),最终的有效负载具有几个共同特征,包括多阶段分层有效负载、.NET 可执行文件/库、使用 SmartAssembly 的有效负载混淆软件、DLL 文件嵌套和反射加载。
在此活动中,恶意软件可执行文件通常通过 .iso 文件传递,这种技术通常用于避免被防病毒软件检测,并作为网络标记绕过技术。可执行文件包含多个 DLL 文件层,这些文件层在运行时提取并直接加载到内存中。
TicTacToe Dropper针对Windows系统
2024年2月,Amey Gat和Mark Robson在FortiGuard博客中指出,这种中等严重性级别的加载器主要影响Microsoft Windows平台,可能导致凭证泄露并使进一步的恶意活动成为可能。
2023年初的样本包含了“TicTacToe ”字符串,而后来的活动使用了不同的字符串和不同的最终阶段有效载荷。这表明该工具在不断发展,开发者试图避开基于字符串的分析。
第一个样本是一个名为‘ALco.exe’的32位可执行文件,它提取并加载了一个名为‘Hadval.dll’或‘stage2 payload’的.NET PE DLL文件。该文件使用了DeepSea版本4.1进行了混淆,导致函数名称和代码流难以阅读。
使用de4dot工具
de4dot工具是一个开源(GPLv3)的.NET反混淆和解包器,在攻击中使用,成功绕过了某些DeepSea混淆技术,导致Hadval.dll文件的大部分被反混淆。
这个文件负责提取一个gzip blob,在解压后,显示出另一个32位PE DLL文件和另一个.NET库。第三阶段的有效载荷,内部命名为‘cruiser.dll’,受到SmartAssembly软件的保护。
cruiser.dll文件包含一个名为‘Munoz’的类,它在临时文件夹中创建了可执行文件的副本。第三阶段的代码从位图对象‘dZAu’中提取、加载并执行第四阶段的有效载荷。另一个DLL文件,‘Farinell2.dll’,使用了自定义混淆器进行混淆。
AgentTesla恶意软件
之前分析了另一个TicTacToe 投放器样本,它投放了众所周知的RAT(远程管理工具)AgentTesla。这个32位的.NET可执行文件使用了相同的技术来加载存储在文件资源元素中的代码。
第二阶段的有效载荷内部名为‘Pendulum.dll’,第三阶段的有效载荷名为‘cruiser.dll’。第三阶段的有效载荷从位图对象‘faLa’中提取了第四阶段的有效载荷,最终的有效载荷是AgentTesla。
为了缓解威胁,研究人员认为基于哈希的检测对已知的活动是有效的。然而,鉴于这种恶意软件的动态本质,对于新的活动需要基于行为的端点安全工具。像FortiEDR这样的EDR技术可以有效检测异常行为。
原文来自: freebuf.com
文中图片取自:https://www.hackread.com/tictactoe-dropper-steals-data-windows-threats/
原文链接:https://www.hackread.com/tictactoe-dropper-steals-data-windows-threats/
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):黑客利用新型 Dropper 在 Windows 上传播恶意软件
评论