摘要
Unit42的研究人员经常花时间调查其所谓的非传统来源。非传统来源通常包括暗网,从Tor网络到Telegram频道和其它地下网站,范围广泛。我们调查的一个案例涉及一个叫Belial Demon的威胁行为者,他是暗网中多个地下市场和网站的成员。
2021年 2 月,Belial Demon 宣传一种名为“Matanbuchus Loader”的新型恶意软件即服务(MaaS),并收取2500美元的初始租金。恶意软件loaders(加载器)通常是恶意软件,它将从命令和控制 (C2) 基础设施中投放第二阶段的恶意软件。Matanbuchus具有以下功能:
-
在内存中启动.exe 或 .dll 文件。
-
能够利用schtasks.exe 添加或修改计划任务。
-
能够启动自定义PowerShell 命令。
-
当攻击者无法以其它方式加载 DLL 时,能够利用独立的可执行文件。
我们发现有几个组织受到Matanbuchus的影响,包括美国的几所大型大学和高中,以及比利时的一个高科技公司。
观察了Belial Demon在暗网中的活动后,我们注意到他们使用了一个特殊的圣经主题:他们的名字Belial,连同他们的新loader的名字Matanbuchus,都源于《以赛亚书》2:4 中的“以赛亚的升天”,这似乎是他们活动的一个比较合适的主题。
本文介绍了Matanbuchus、Belial Demon 和恶意软件基础设施。
BelialDemon概述
在此之前,Belial Demon 参与了恶意软件加载器的开发,并被认为是TriumphLoader的主要开发者,TriumphLoader 是一种之前在暗网上的多个网站上发布的加载器,并且他在销售此类恶意软件方面有着良好的记录。
图1.Belial Demon 介绍加载器的帖子
通过查看图1这样的帖子,并通过多种方式定位文件,我们对恶意软件的功能有了更深入的了解,并分析了其在野活动,以便更好地实施保护和丰富情报。BelialDemon 招募了三个人作为 MaaS 的一部分,初始租金为 2500 美元。
图2. 暗网上关于Matanbuchus销售的帖子
由于我们直接从源头获得了恶意软件,因此我们随后开始寻找在野的 Matanbuchus 样本。在寻找 Matanbuchus 的样本时,在野发现了一个名为ddg.dll的文件,该文件是通过hxxp://idea-secure-login[.]com投放的。其中包含的一些字符串表明我们走在正确的研究轨道上。
图3.MatanbuchusDroper.dll的字符串
正如恶意软件开发者所说,该加载器具有以下特点:
-
能够在内存中启动一个.exe或.dll文件。
-
能够利用schtasks.exe来添加或修改计划任务。
-
能够启动自定义的PowerShell命令。
-
当攻击者无法以其它方式加载 DLL 时,能够利用独立的可执行文件。
Excel Dropper
在确定Excel文档(SHA256:41727fc99b9d99abd7183f6eec9052f86de076c04056e224ac366762c361afda)是投放Matanbuchus Loader DLL的攻击初始载体后,我们开始对这个文件进行分析。当打开Excel文件时,你会收到这样的通知:需要启用宏才能查看文件的实际内容。
图 4.虚假的 Excel 警告
该文件使用了一种最近在利用 Microsoft Office 文档进行攻击时更受青睐的技术。具体来说,当试图在受害者的系统上启动恶意Payload时,Microsoft Word 已经转变为 Microsoft Excel。这种转变是因为,使用 Excel 的内置函数,可以将代码分布在整个电子表格的单元格中,提供一种原生的混淆,阻碍了分析和检测。这被通俗地称为Excel 4.0宏。
图 5.隐藏的工作表函数
包含数据的单元格被埋在在一片空白的单元格海洋中,这些空白单元格在执行时会将信息拼凑在一起。在上面的示例中,请注意 B 列中的一些可见单元格如何引用工作表中的列和行。
图 6.Excel 函数示例
这个GOTO函数告诉 Excel 选择一个超过数百列和向下 1595 行的特定单元格。这些操作拼接在一起,可以在本文档中完成文件的简单下载和执行。
通过删除文档中的空白单元格并查看生成的字符串,将看到许多WildFire恶意软件分析引擎观察到的有趣的行为,这些行为与文件的行为相匹配。
图 7.Excel V4 中提取的宏字符串
从表面上看,我们可以看到下载和执行文件的功能被拆分在一个地方。在这种情况下,ddg.dll将从idea-secure-login[.]com下载,并在本地保存为hcRlCTg.dll。然后,DLL中名为RunDLL32_Install_COM32的 export被执行。
如前所述,这与 WildFire 中观察到的预期行为一致。
图 8.WildFire记录的活动
这里的 DLL 是指 Matanbuchus Loader DLL文件。
Matanbuchus概述
在下文中,我们将简要回顾Matanbuchus恶意软件,然后查看使用的基础设施。
总的来说,Matanbuchus在恶意软件的运行周期中使用两个DLL。两个DLL都是打包的,但应该注意的是,第一个DLL的内部名称是MatanbuchusDroper.dll,而第二个DLL的名称是Matanbuchus.dll。这不是一种非常隐蔽的方法,因此分析人员很容易发现。此外,这两个DLL都基于0x10000000,并在整个执行过程中使用硬编码的地址。
一旦Excel从idea-secure-login[.]com网站下载了第一个DLL,MatanbuchusDroper.dll(SHA256:7fbaf7420943d4aa327bb82a357cd31ca92c7c83277f73a195d45bd18365cfce),Excel宏将启动并调用DLL中标为RunDLL32_Install_COM32的 export。
顾名思义,第一个 DLL 的主要功能是投放主要的 Matanbuchus DLL。但是,在此之前,它会进行一些通常在反虚拟化和反调试检查中观察到的 API 调用,例如GetCursorPos、IsProcessorFeaturePresent、cpuid、GetSystemTimeAsFileTime和QueryPerformanceCounter。这些可以分析系统以向恶意软件提供指标,使其能够确定它是否在受控环境(即沙箱)中运行。
图9.IsProcessorFeaturePresent 的API调用
图 10.cpuid 的API调用
之后,DLL将进入下一阶段,解压缩URL以下载主要的Matanbuchus DLL,伪装成一个名为AveBelial.xml的XML文件。然后将这个下载的文件保存到UsersADMINI~1AppDataLocalTempRun_32DLL_COM32shell96.dll。这里使用名称 shell96 可能是因为它很容易与本机系统文件混在一起。如果这是真的,shell32和shell64后面会跟着shell96,按照命名约定,这是很自然的想法。
图 11.Matanbuchus DLL下载
图 12.将shell96.dll写入磁盘
持久性是通过创建一个计划任务来运行新的DLL,以及调用特定的 export来建立的。
图 13.持久性计划任务
尝试将DLL的export名称与DLL中的常见单词混合:RunDLL32_Install_COM32 和 Run_32DLL_COM32。这延续了上述shell96的趋势。
样本Matanbuchus.dll(SHA256:af356a39a298f6a48f8091afc2f2fc0639338b11813f4f4bd05aba4e65d2bbe3),与第一个DLL类似,使用多种类型的混淆和编码来隐藏字符串和可执行代码,以避免静态分析。与第一个不同的是,在解压代码后进行了其它的操作,以进一步隐藏它所利用的DLL的功能。在图14中,你可以看到该样本正在构建一个字符串Shell32.dll。
图 14.构建“ Shell32.dl l”字符串
如果查看解码字符串的DLL名称:IPHLPAPI.DLL、ws2_32.dll、wininet.dll和shlwapi.dll,这并不奇怪,因为这些 DLL 通常表示文件写入或基于网络的通信等行为,并且经常在恶意软件分析过程中出现。
最后,这个DLL收集有关系统的各种信息,如主机名、操作系统细节、网络适配器等,然后再进入熟悉的远程访问木马 (RAT) 例程。该恶意软件开始与下载DLL的同一主机--eonsabode[.at]进行通信。然后,它向kntwtopnbt/8r5kudwrc8/gate[.]php发送一个HTTP POST请求,没有referrer字段,以及一个包含数据但不是一个实际的user-agent的user-agent字段,这使得它非常明显,且很容易被发现。
图 15.网络流量HTTP POST
此请求是一个 Base64 编码的 JSON 数组,其中包含进一步编码的数据。这很可能包含主机分析信息。
图 16.Base64解码的C2流量
基础设施
将焦点转移到最终Matanbuchus DLL的来源域(eonsabode[.]at),我们可以看到它解析到一个IP地址,并且自 2021 年 2 月上旬以来已解析为多个 IP 地址。这与我们观察到的BelialDemon宣传其新恶意软件的时间一致。此外,Excel v4宏为第一个Matanbuchus DLL访问的初始域(idea-secure-login[.com])也托管在这些相同的IP地址上。
图 17.eonsabode[.]at 的DNS 解析
查看单个 IP 地址及其以前的名称解析,我们会看到每个IP 地址存在的域开始出现多种模式,这些模式允许进一步对恶意活动进行分组。
例如,考虑以下三个最新的 IP 地址及其名称解析的子集。
34.94.151[.] 129 :
34.106.243[.] 174 :
34.105.89[.] 82 :
这里可以立即观察到的模式包括使用奥地利国家代码顶级域名 "at "注册的域名,在域名中使用 "24",以及使用"login" 、"online" 、"sso" 和 "secure"等词。这些都与BelialDemon以前试图通过使用" good "字来隐藏的做法相一致。
鉴于此,我们提取了自2021年2月以来原始恶意域解析的每个IP 的所有被动 DNS 名称解析。关注具有多个连接的域,下图是一个相关域分组图。
图 18. IP 和域的连接图
这个域子集包含许多基于域名各个方面的集群。我们在下面分别对它们进行了集群。
模式:biznesplanet 的主题
模式:“24”的用法
模式:奥地利 ccTLD 的使用
模式:伪造的 AdobeFlash 更新
模式:“Idea”的用法
模式:“Wallet”的主题,可能与加密有关
这些域名和主题似乎主要针对网络钓鱼,虽然这些域名不是都与Matanbuchus恶意软件有关,但它们似乎都是恶意的,而且很可能由相同的攻击者操作,正如Malware Hunter Team在Twitter上表示的那样,"假的Flash更新 "与恶意APK文件相关联,进一步支持了这一理论。其中一些域可能是为未来的活动准备的,并且可能还没有被使用过。
结论
在本文中,我们介绍了如何通过基于现场的威胁搜寻来生成威胁情报。通过这些调查,我们将看似不连贯的小数据联系起来,以帮助加强分析、得出指标并提高防御能力,希望能够在组织受到影响之前对其进行保护。
通用安全建议
企业应该加强企业邮箱的安全防护,使用安全邮件网关或反垃圾邮件防火墙。
加强安全意识,警惕网络钓鱼邮件攻击。如收到可疑邮件或文档,不相信、不点击、不理会,尤其是不要打开其中的附件和链接,因为这可能导致数据被窃取或感染恶意软件。
非必要不要启用宏,因为它经常被作为恶意软件初始感染方法之一。
安装杀毒软件或终端保护软件,实时检测发现终端安全威胁。
保护敏感信息。不要将敏感信息发布到互联网上,用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据,有针对性的向用户发送钓鱼邮件。
及时修复系统或应用的安全漏洞,避免被恶意软件利用。
IoC
|
项 |
值 |
|
Excel Dropper SHA256 |
41727fc99b9d99abd7183f6eec9052f86de076c04056e224ac366762c361afda |
|
Matanbuchus Loader SHA256 |
7fbaf7420943d4aa327bb82a357cd31ca92c7c83277f73a195d45bd18365cfce |
|
Matanbuchus Main SHA256 |
af356a39a298f6a48f8091afc2f2fc0639338b11813f4f4bd05aba4e65d2bbe3 |
|
Matanbuchus Loader Domain |
idea-secure-login[.]com |
|
Matanbuchus Loader URL |
idea-secure-login[.]com/3/ddg.dll |
|
Matanbuchus Main Domain |
eonsabode[.]at |
|
Matanbuchus Main URL |
eonsabode[.]at/kntwtopnbt/iqiw922vv5/AveBelial.xml |
|
Matanbuchus Loader FileName |
ddg.dll |
|
Matanbuchus Loader FileName |
hcRlcTg.dll |
|
Matanbuchus Main FileName |
shell96.dll |
|
Matanbuchus Loader Export |
RunDLL32_Install_COM32 |
|
Matanbuchus Main Export |
Run_32DLL_COM32 |
|
Matanbuchus Loader CommandLine |
schtasks.exe /Create /SC MINUTE /MO 2 /TN Run_32DLL_COM32 /TR "C:WindowsSystem32rundll32.exe C:UsersAdminAppDataLocalTempRun_32DLL_COM32shell96.dll,Run_32DLL_COM32" |
|
Matanbuchus Main FilePath |
C:UsersAdminAppDataLocalTempRun_32DLL_COM32 |
|
Additional Malicious Domains |
biznesplanet-bnpparlba[.]com biznesplanet-parlbabnp[.]com biznesplanet-parlbas[.]com biznesplanet.parlbabnp[.]com login-biznesplanet[.]com bos24-logowan[.]com bos24-logowanie[.]com bos24-online[.]com ibos-online24[.]com ibos24-login[.]com ibos24-online[.]com login-bos24[.]com citationsherbe[.]at flowsrectifie[.]at odatingactualiz[.]at flash-player-update[.]digital flash-update[.]digital flashplayer-update[.]digital flashupdate[.]digital player-update[.]digital playerupdate[.]digital upgrade-flash-player[.]digital sso-cloud-idea[.]com dostawapapajohns[.]online onlinepapajohns[.]online papa-johns-dostawa[.]digital papa-johns-dostawa[.]online login.wallet-secure[.]org wallet-secure[.]biz wallet-secure[.]me wallet-secure[.]org wallet-secure[.]site wallet-secure[.]xyz |
原文链接
https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/
本文始发于微信公众号(维他命安全):新型恶意软件即服务 (MaaS):Matanbuchus
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论