文章作者:奇安信攻防社区(Aris)
文章来源:https://forum.butian.net/share/4354
哥伦比亚共和国司法部门,官方通知的紧急传票。如果在法定期限内不作出回应或出庭,可能会面临财产扣押、资金冻结等强制措施,并且可能产生额外的处罚,包括信用记录受损和强制执行。所有详细信息、证据和法律效力都包含在一个PDF文档中。
并提供了一个下载pdf的按钮。
分析发现,点击任意地方都会下载一个托管在discord服务器中的名为Documentos_xxxxx.js的文件。
分析Documentos_xxxxx.js,发现此文件存在大量垃圾无意义代码。
仔细多次分析后,发现在文件的靠后位置,出现了实际代码,会在一系列字符串操作后被还原成明文字符串。根据代码,得出结论此文件并非是JavaScript
,而是Windows JScript
脚本文件。在Windows系统中,js后缀的文件默认双击后会被wscript.exe
程序解释并执行。
将实际代码提取出来,并用WScript.Echo
输出最终字符串。
也就是说此脚本会执行下方的powershell
命令
将被编码的powershell
代码解码
继续分析,代码功能为从archive.org服务器中远程下载一个 new_image.jpg 文件,并解析其中被base64编码后的.NET程序,然后反射加载并调用。
new_image.jpg 是一个图片文件,在文件尾部追加了一个base64编码后的.NET程序
此.NET程序为一个dll文件,有一定的混淆,使用de4dot反混淆后继续分析。
反编译后,发现该dll为在开源项目dnlib
中新增了恶意代码,攻击者应该是想通过添加白程序代码,来逃避机器学习查杀。
在powershell中会调用dnlib.IO.Home
中的VAI
方法,由于dnspy不能直接调试dll,这里我使用了 https://github.com/hexfati/SharpDllLoader 来主动加载dll。在调试的时候再把参数通过命令行传入即可。参数为
-d "C:Usersxxxxdump.dll" -n dnlib.IO -c Home -m VAI -s true --margs "txt.eliFdetrevnoC/xxxx/xxxx/stnemhcatta/moc.ppadrocsid.ndc//:sptth 1 C:UsersPublicDownloads fluctuous MSBuild js 2 "
代码中Class237.smethod_0
的出现频率很高,后续分析出,此方法实际为字符串隐藏,只有在调用的时候才会从hash表中,通过键取出。这里的Class237.smethod_0(12359)
会返回字符串1
。
分析其字符串隐藏原来,会读取名为hIXS
的资源,里面包含了所有的加密后的字符串。
在内存中动态创建一个名为?
的.NET模块,再创建一个名为?
的静态函数。
继续分析刚创建的模块,发现其将所有字符串取出,并存储在hash表中
读取时,根据键来读出实际字符串。
继续分析其功能代码,包含了虚拟机检测功能
计划任务进行权限维持
通过注册表HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
进行维权
通过反射加载存放在资源文件中的UAC.dll
进行UAC Bypass。
UAC.dll
使用了cmstp实现UAC Bypass。
远程下载 https://cdn.discordapp.com/attachments/xxxx/xxxx/ConvertedFile.txt
解码后提取出PE文件。然后根据PE文件的IMAGE_OPTIONAL_HEADER
中的Magic
字段来选择要使用的傀儡进程注入技术。其中32位程序的Magic
字段为IMAGE_NT_OPTIONAL_HDR32_MAGIC (267)
,64位程序则为IMAGE_NT_OPTIONAL_HDR64_MAGIC (523)
。
为32位程序时,使用如下傀儡进程注入技术。
为64位程序时,使用如下傀儡进程注入技术。
根据传入方法的参数,会将Documentos_xxxxx.js
复制到C:UsersPublicDownloadsfluctuous.js
并添加注册表自启动。然后从https://cdn.discordapp.com/attachments/xxxx/xxxx/ConvertedFile.txt
中下载并解码,再创建傀儡进程MSBuild.exe
并注入payload。不过由于链接目前已失效,导致无法分析其最终的payload,在virustotal
搜索了一下,发现有人已经传过了。
最终注入的应该是一个AsyncRat木马。
攻击者实现了一次多阶段的钓鱼攻击,大量使用了合法的网站来托管恶意payload,并使用内存反射加载来逃避查杀。在企业中对陌生邮件一定要警惕,不运行可疑文件,防止成为攻击者的"肉鸡"。
原文始发于微信公众号(李白你好):恶意样本分析 | AsyncRat通过svg多阶段钓鱼分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论