一、事件概述
网络安全厂商Rapid7于2024年11月初发现一种新型、高度隐蔽的恶意软件安装程序“CleverSoar”,该程序专门针对讲中文和越南语的用户。这一发现揭示了一个复杂且持续的网络威胁,很可能与长期的网络间谍活动有关。
“CleverSoar”安装程序设计用于部署和保护多个恶意组件,包括高级的Winos4.0框架和Nidhogg rootkit。这些工具能够实现键盘记录、数据泄露、安全绕过和隐蔽系统控制等功能。“CleverSoar”安装程序相关的二进制文件大多在2024年11月被检测到,最早的版本于今年7月底上传至VirusTotal。恶意软件的传播始于一个.msi安装包,该安装包提取文件并随后执行“CleverSoar”安装程序。“CleverSoar”安装程序会检查用户的语言设置,以确认是否设置为中文或越南语。如果语言不被识别,安装程序将终止,有效阻止感染。这一行为强烈表明网络攻击者主要针对这些地区的受害者。基于恶意.msi文件生成的文件夹名称(例如Wegame, Installer),我们推断.msi安装包被伪装成假软件或与游戏相关的应用程序进行分发。尽管研究人员无法将安装程序溯源归因于特定的已知威胁行为者,但由于活动特征的相似性,他们中等信心怀疑可能与今年Fortinet报告的ValleyRAT活动和新活动是同一网络攻击者所为。“CleverSoar”安装程序所采用的技术表明,网络攻击者具备高级技能和对Windows协议及安全产品的全面理解。
二、技术过程分析
技术分析涵盖了用于隐蔽部署Nidhogg rootkit、Winos4.0框架和自定义后门的“CleverSoar”安装程序。安装程序还负责禁用安全解决方案,并确保只感染中文或越南语系统语言的机器。
攻击过程技术细节:
(1)固件表反虚拟机(Firmware Table Anti-VM):
CleverSoar安装程序通过调用GetSystemFirmwareTable函数检索原始SMBIOS固件表,并检查特定值的存在,例如检查“QEMU”(一个开源的免费模拟器)的存在,以确定操作系统是否在虚拟环境中运行。这种技术是一种复杂的反VM方法,因为当操作系统在虚拟环境中执行时,操作系统使用的某些内存区域包含独特的痕迹特征。值得注意的是,Raspberry Robin恶意软件以前曾使用过这种技术,但方式略有不同。
(2)Windows Defender模拟器检测(Windows Defender Emulator):
CleverSoar安装程序使用LdrGetDllHandleEx和RtlImageDirectoryEntryToData函数来检测Windows Defender模拟器的状态,以及使用NtIsProcessInJob和NtCompressKey函数进行相同目的。这几种反仿真技术在UACME开源项目中公开提供过。成功完成这些反仿真检查后,安装程序会记录已成功绕过Defender检查并继续进行后续检查。
(3)操作系统版本检测(Windows 10 or Windows 11):
CleverSoar安装程序通过调用GetVersionExW函数来检测操作系统版本,要确定恶意软件是在 Windows10操作系统还是Windows11上执行。具体会检查是否存在“C:WindowsSystem32Taskbar.dll”文件,因为此文件只能在Windows 11操作系统上找到。
(4)第三方DLL注入阻止(3rd Party DLL Injection Prevention):
CleverSoar安装程序修改了进程缓解策略,以包含限制“限制签名(仅限Microsoft)”。此操作可防止将非Microsoft签名的二进制文件注入到受影响的进程中。通过实施此技术,使用用户空间挂钩的防病毒和EDR解决方案无法将其DLL注入正在运行的进程中。
(5)时序反调试(Timing Anti-Debug):
CleverSoar安装程序通过调用GetTickCount64函数两次并测量指令与其执行之间的延迟来进行时序反调试检查。
(6)简单反调试检查(Simple Anti-Debug check):
CleverSoar安装程序使用IsDebuggerPresentAPI调用来确定进程是否正在被调试。
(7)反沙箱/反虚拟机用户名检查(Anti-Sandbox/Anti-VM Username Check):
CleverSoar安装程序通过检索当前用户名,并将其与一系列已知用于沙箱和模拟器解决方案的用户名进行比较。比如'CurrentUser, Sandbox, Emily, HAPUBWS, Hone Lee, IT-ADMIN, Johnaon, Miller, miloza, Peter Wilson, timmy, sand box, malware, maltest, test user, virus, John Doe, 9ZaXj, WALKER, vbccsb_*, vbccsb'。虽然这些用户名中的大多数都以沙盒和模拟器解决方案的使用而闻名,但其中两个用户名似乎拼写错误:“Hone Lee”而不是“Hong Lee”,“Johnaon”而不是“Johnson”。这种拼写错误有两个可能的原因,首先,攻击者手动输入了这些名称,第二个可能是威胁行为者发现这些是沙盒使用的更新名称。成功执行用户名检查绕过后,恶意软件将继续完成规避阶段并启动其恶意操作。
(8)攻击活动(Malicious Activity):
CleverSoar安装程序完成所有环境检查后,安装程序会进行系统语言环境验证,确保只感染中文或越南语系统语言的机器。随后,创建注册表键,搜索特定进程,并在发现360 Total Security、HeroBravo System Diagnostics等安全产品时,调整Se_Debug_Privilege并注入lsass.exe进程。
(9)服务创建与持久性(Service Creation & Persistence):
CleverSoar安装程序通过创建服务来实现持久性,例如创建CleverSoar服务来执行Sysmon驱动程序,以及创建Nidhogg服务来执行Nidhogg rootkit。
(10)Windows防火墙关闭(Windows Firewall Off):
CleverSoar安装程序通过执行netsh advfirewall set allprofiles state off命令来关闭Windows防火墙。
(11)计划任务与后门通信(Scheduled Tasks & Backdoor Communication):
CleverSoar安装程序通过创建计划任务来执行winnt.exe和runtime.exe二进制文件,这些文件分别与Winos4.0 C2框架和自定义后门通信。
参考链接:
https://www.rapid7.com/blog/post/2024/11/27/new-cleversoar-installer-targets-chinese-and-vietnamese-users/
原文始发于微信公众号(白泽安全实验室):针对中文和越南语用户的新型恶意软件“CleverSoar”
评论