概述
初始感染
-
用户打开恶意文档,并允许执行宏;
-
弹出一个消息框;
-
当前文档作为HTML被保存到%temp%路径下,并相应地将所有图像文件分别存储在同一目录中;
-
显示诱饵文档;
-
将%temp%[document name]image003.png转换成BMP文件格式,并添加.zip扩展名 ;
-
使用mshta.exe执行包含HTML应用程序代码的image003.zip文件;
-
删除之前创建的临时文件。
第二阶段有效载荷
第二阶段有效载荷负责与C2服务器通信,并释放第三阶段有效载荷。第二阶段恶意软件运行时会使用嵌入的16字节XOR密钥来解密Base64编码的有效载荷。解密后的有效载荷是另一个在内存中运行的可移植可执行文件。
第二阶段有效载荷的感染过程:
-
创建名为Microsoft32的互斥量;
-
解析API地址:base64解码+RC4解密密钥MicrosoftCorporationValidation@#$%^&*()!US;
-
检索 C2 地址:base64解码 + 自定义XOR解密;
-
与C2通信。
第三阶段有效载荷
第三阶段有效载荷是通过第二阶段有效载荷创建的,在操作中交互执行,并存在于x64和x86版本中。其使用Internet Explorer或Google Chrome图标和相应的文件名,将自身伪装成合法的互联网浏览器。第三阶段有效载荷的结构与第二阶段的相同,如下图所示:
该有效载荷执行后会检查QD33qhhXKK互斥量,并通过搜索系统中是否存在特定模块,以判定系统是否存在沙盒环境的迹象。需要检查的模块名称字符串使用硬编码的 XOR密钥(0x4B762A554559586F6A45656545654130)进行解码。
完成环境检查后,将使用相同的XOR密钥解密主载荷,并使用rundll32.exe启动。然后使用DES提取和解密三个C2地址,这些C2指向同一IP (23.229.111[.]197)。然后恶意软件会向C2服务器发送一个硬编码字符串:“HTTP 1.1/member.php SSL3.4”。
接下来,它将检查C2的响应数据是否为“HTTP 1.1 200 OK SSL2.1”,如果是则开始执行后门操作。
勒索软件
有趣的是,一名受害者在感染第三阶段有效载荷后还收到了自定义的勒索软件。该勒索软件由命令行参数控制,可以从C2检索加密密钥,或者作为启动时的参数。
启动时,勒索软件会检查参数的数量。如果参数数量少于 6,恶意软件会自行终止。如果没有指定加密文件的扩展名,该勒索软件将使用.3nc004作为默认扩展名,且使用默认的勒索说明文件名3nc004.txt。如果未指定受害者 ID,勒索软件将生成一个由24字符组成的随机ID。
如果使用 -s(-S) 选项执行勒索软件,它会将受害者ID发送到C2服务器,并接收初始向量和用于加密文件的密钥。每个字符串的长度为32个字符。当勒索软件与C2通信时,它将使用与第三阶段有效载荷相同的身份验证过程和字符串。
该自定义的勒索软件使用AES-128 CBC模式算法来加密受害者机器上,除扩展名为“.exe”、“.dll”、“.sys”、“.msiins”和“.drv”的系统关键文件之外的所有文件,无论文件大小。但是,由于重要的系统配置文件也会受到加密过程的影响,因此可能导致系统不稳定。
最后,该勒索软件会在桌面和启动文件夹中释放勒索说明文件,并使用 notepad.exe打开。
总结
END
本文始发于微信公众号(SecTr安全团队):Andariel组织在针对韩国的攻击活动中使用勒索软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论