Windows 安装程序 (.msi 文件) 是已知的恶意软件传播载体。尽管并不常见,但它们已被威胁行为者用来传播各种恶意软件。
2024 年 7 月,Cyberint 研究团队注意到恶意 .msi 文件的使用量有所上升。在各种样本中,我们注意到一种特定的恶意安装程序变体正在被广泛使用,伪装成合法应用程序或更新安装程序,并以韩语和中文使用者为目标。
进一步的分析表明,该加载程序很可能是由中文人士开发的,但大多数安全供应商在首次发现时都未能检测到。
Cyberint 研究团队将该恶意安装程序命名为“UULoader”,因为其嵌入的 .dll 文件中有几种变体以 .pdb 路径的形式出现(图 1)。
UULoader 静态规避
UULoader 采用一种简单但有效的主要机制来逃避静态检测 - 文件头剥离。文件头是任何给定文件的前几个字节,让各种应用程序(有时是操作系统本身)知道某个文件是什么类型的文件。例如 - PDF 文档的文件头为“ %PDF-”,后跟一个表示文件版本的数字,例如“ %PDF-1.7”。
通过删除(或“剥离”)文件的前几个字节,文件可以完全逃避分类。例如,可执行文件(使用文件头“MZ”或“PE”)在被安全产品扫描且未根据其真实身份进行处理或执行时,就可能被归类为“数据”。
UULoader 的“核心”文件包含在 Microsoft Cabinet 档案 (.cab) 文件中,该文件包含两个主要的可执行文件(.exe 和 .dll),它们的文件头已被删除。
这些被剥离的可执行文件之一(通常)是旧的但合法的 Realtek 可执行文件,它充当 .dll 文件的“侧加载程序”,该文件的标题也已被剥离。
此外,.cab 文件还包含一个混淆程度更高的文件(这是 UULoader 最终包含的有效载荷,以“ XamlHost.sys”的形式保存到磁盘)和两个包含字符“M”和“Z”的额外小文件,用于在执行 UULoader 时“修复”上述剥离的文件头。
最后,一些 UULoader 样本包含合法的诱饵文件,该文件也会被执行,以转移对其恶意功能的注意力并分散用户的注意力。这通常与 .msi 文件所伪装的内容相对应。
例如,如果它试图伪装成“Chrome 更新”,那么诱饵实际上是 Chrome 的合法更新。
-
UULoader部署链
一旦执行,UULoader 将使用 .msi CustomAction在C:Program Files (x86)中创建一个名为“ Microsoft Thunder ”的文件夹,并将其所包含的 .cab 文件中的“重新标头化”的 .exe 和 .dll 以及仍然模糊的最终有效负载部署到该文件夹。
与此同时,还会执行一个 .vbs 脚本,该脚本将创建的“ Microsoft Thunder”文件夹注册为 Windows Defender 的排除项。它会“重新打包”并将释放的文件重命名为适当的扩展名,执行合法的“侧加载程序”,加载 UULoader .dll。这反过来会加载最终的有效负载(存储为“ XamlHost.sys”,并且仍然经过混淆),最后执行诱饵。
.vbs 脚本中值得注意的是存在各种“垃圾”操作(主要是算术计算),这些操作本身并没有任何用处,但其目的是在安全产品扫描时通过合法的垃圾“超越”它们来“膨胀”脚本并隐藏其恶意功能。
UULoader 的最终有效载荷似乎主要是远程访问工具,例如 Gh0stRat(已知被包括中国在内的多个威胁行为者使用),以及各种黑客工具,例如 Mimikatz。
概括
UULoader 采用了一种颇具创意的多阶段有效载荷传递方法。事实证明,这种方法能够有效逃避静态检测,其在 VirusTotal 上的首次检测率极低就是证据。
虽然尚不能将 UULoader 与特定的威胁行为者联系起来,但它很可能是一个国内威胁行为者。
原文始发于微信公众号(独眼情报):恶意程序伪装成uu加速器、Anydesk、Chrome更新程序等
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论