概述
校对点研究人员最近观察到重新出现两个在几个月内主要消失的恶意软件下载者。HANCITOR(也称为Tordal和Chanitor)和Ruckguv已重新出现在分发小马和VAWTRAK的竞选活动中,具有重大更新和功能。我们还在跟踪各种装载机的演员进行实验,为恶意软件生态系统的这些不断发展的组件提供见解。
HANCITIR分析
从4月28日开始,我们观察了一个Vawtrak演员(使用ID 80,81,82)利用Hancitor下载器的更新版本。我们最后一次看到一个Vawtrak附属公司使用的下载者是2015年4月,它在下载旧版Vawtrak时。我们认为这是使用更新的下载器的同一个演员。
在这种情况下,Hancitor Loader通过Microsoft Word电子邮件附件中的宏丢弃。反过来,祝福兰德下载小马模块和Vawtrak。
图1:4月28日通过新装载机的示例电子邮件传播Vawtrak具有主题“FW:来自[公司名称]的债务传真机”和附件175415626.doc(随机数)
自从我们上次在校对数据中观察下载的年度以来,Hancitor已经过大修和更新。值得注意的更改和功能包括:
- 重写网络通信协议
- 从HANCITOR进程中下载和执行PONY DLL模块(且可能是任何DLL)的能力
在此更新之前,Hancitor命令和控制(C&C)办理登机手续(例如使用示例MD5:F472C00abef3324460989972362458E1)使用了一个管道分离的后数据格式,如“
图2:示例HANCITOR C&C登记
| 范围 | 描述 |
| GUID. | 使用UUIDCreate Windows API(更新的HANCITITER的早期版本)生成的19位标识符或从GetAdapterSaddresses Windows API的输出导出(最新版本在5月10日)。 |
| 建造 | 似乎代表软件版本的硬编码的4位数字。这些不会按顺序更新。观察到的构建号包括2804和0905 |
| 信息 | 该信息显示“[计算机名称] @ [域] \ [帐户]中的计算机名称,帐户名称和域名格式 |
| IP. | 受感染机器的外部IP地址,由API.IPIFY [。] org确定 |
| 类型 | 硬编码值设置为“1” |
| 赢 | Windows Major和次要版本,然后是“[MIGHE]的系统架构。[次要]([架构])”格式,其中架构为x32或x64。 |
表1:通过更新的HANCITOR提交给C&C服务器的参数的说明
为了响应受感染的客户办理登机手续,C&C服务器可以用一系列JSON格式的命令来响应客户端执行,如图2所示格式化。表2中说明了每个命令的含义。
| 命令 | 描述 |
| {R:[url]} | 从URL下载并运行可执行文件 |
| {U:} | 未实现 |
| {D:} | 终止恶意软件进程和删除备份文件 |
| {L:[URL]} | 从URL下载模块(DLL),将其写入当前进程内存,并执行它 |
| {n:} | 没事做 |
表2:C&C服务器发送的命令
从HACCITOR进程中下载和执行DLL模块的能力是更新恶意软件的新功能。DLL将DLL下载到堆内存,直接写入HACCITOR进程(使用VirtualAllocex和WriteProcessMemory),并使用CreateThread Windows API从那里执行。因此,模块未写入磁盘,而不会为其创建文件或持久性机制。到目前为止,我们只观察到庞韵作为模块下载,但可以类似地加载其他DLL。
图3:模块DLL写入当前进程并从那里执行
图4:Pseudocode显示了汉兰德下载DLL模块,将其写入当前的进程内存,并执行它
RuckGuv分析
5月4日,在更新的汉兰特首次看到下载Vawtrak后不久,使用新版本的RuckGuv下载器观察了相同的演员。在此之前,我们最后一次看到这个下载者于2015年12月,加载了Cryptowall有效载荷。类似于更新的HANCITOR,更新的RuckGUV被Word文档中的宏丢弃。反过来,RuckGuv下载了小马模块和Vawtrak。
图5:5月4日通过新装载机的示例电子邮件扩展Vawtrak具有主题“FW:[公司网站] IRS通知”和附件IRS_468718228.doc(随机数)
由于我们上次看到校对点数据中的下载器,RuckGuv也过修并更新。值得注意的更改和新的恶意软件功能包括:
- 有效载荷URL不再使用ROT13编码
- 下载的有效负载用一个可能的文件名而不是三个写入系统
- 更强大的下载代码,而不是简单地调用urldownloadTofilea API
- 作为模块下载并运行PONY DLL的能力
RuckGuv的旧版本(例如,MD5:1C319670A717305F7373C8529092F8C3)编码了存储在恶意软件二进制中的有效载荷URL,ROT13,并在运行时解码它们。这已不再是这种情况;但是,诸如恶意软件使用的DLL名称的其他字符串现在是rot13编码的。
现在将下载的有效负载写入%appdata%\ csrss_ [voluel_serial] .exe文件,其中volume_serial是一个八字符串,使用getVolumeinformationA生成。以前,有效负载也写入%appdata%文件夹,但是使用三个可能的文件名之一,包括CSRSS_nn..exe,windowsdriver_nn..exe,或frifox_nn..exe,哪里nn.是一个随机的两位数字。
图6:代码片段显示下载有效载荷的文件名生成
旧版本的恶意软件只用了有效载荷UrlDownLoadTofilea Windows API.,“从互联网下载位并将其保存到文件中。”新版本重新制作了该功能,而是使用InternetPen,InternetopenEurl,CreateFile和WriteFile功能。这些功能的使用允许进一步自定义,例如将用户代理设置为“Mozilla / 5.0(兼容; MSIe 9.0; Windows NT 6.1; Trident / 5.0)”。此外,现在检查了下载的文件大小;如果它少于2,000字节,则被认为是下载失败,加载程序尝试替代下载位置。此检查可能偶然或有意帮助反对可能会改变/中性的白帽黑客,例如恶意软件有效载物站点,例如“愚蠢的锁定”事件[2]中描述的那些。
图7:代码片段显示从初始位置下载有效载荷的尝试,然后是下载文件大小检查
最后,更新的RuckGuv增加了下载和运行DLL的能力(我们只观察到到目前为止正在下载的Pony DLL)。dll下载到%appdata%\ wsrv_ [volume_serial] .dll位置。DLL通过10字节的RC4密钥(在我们的样本中的“NJB#6452 ^&”)加密。然后通过readfile读取dll文件,并通过分配内存从父RuckGuv进程中执行,将其写入父进程并跳转到其入口点。
图8:代码片段显示DLL文件名生成和DLL下载
其他装载机和演员细节
此Vawtrak Actor也在尝试使用H1N1装载机,因为宏文档丢弃的初始有效载荷。与其他装载者一样讨论过,它用于下载小马DLL和Vawtrak可执行文件。但是,H1N1也可以窃取凭据。H1N1还最近收到了更新,这在KernelMode论坛上讨论了[1]。
这里描述的Vawtrak Botnets ID(80,81和82)主要是美国金融组织,虽然少数加拿大和英国组织也已被定位。以前,典型的广告系列只包括少数唯一的唯一文档和数十万封电子邮件。从4月开始,演员开始使用许多独特的文件,以便他们的广告系列 - 有些日子使用多达数万个文件,可能是试图逃避检测。我们首先观察到这种Vawtrak变体去年9月。它的模块化非常值得注意(它包括小马偷窃机,调试模块,注入模块和后连接模块)。
Vawtrak还可以下载Tinyloader,我们之前观察过安装abaddonpos恶意软件。我们还有最近观察到Vawtrak下载用于发送这些广告系列的燃料(发送安全企业邮件)。
结论
恶意软件加载器通常不会收到与其有效载荷恶意软件相同的关注。然而,像Hancitor,Ruckguv,Pony等的装载机是恶意软件生态系统的关键部分。它们不仅包含自己的越来越多的功能,而且还可以帮助威胁演员逃避检测,因为它们的下载尺寸小。它们还提高了演员的灵活性,允许他们快速交换有效载荷作为C&C基础设施提供的地理位置,IP或其他指令演变或区分有效载荷。
到那最后,更新装载者熊观察,希望任何希望避免救师演员。
参考
- http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3851
- https://blog.avira.com/im-with-stupid-locky/
妥协指标(IOC)
| IOC | IOC类型 | 描述 |
| 9B3FA5DC3B340E0DF08D26DD53CD3AA83212950B2D41CF1B1E5A6DD1ACD0E4DF | SHA56哈希 | 4月28日下载祝福兰德的文件 |
| 5EC4BA1A97500E664AF6896F4C02846CA6777E671BB600103DC8D49224E38F48 | SHA56哈希 | 祝福 |
| B19EC186F59B1F72C768ED2FCD8344D75821S527870B712123DB96F683F1B68 | SHA56哈希 | 小马(Hancitor Module) |
| EC9A14F442BBB549388C7A36F8F221FAB4F8D3578540AD528F9CB12D35E73FA5 | SHA56哈希 | Vawtrak(Hancitor Payload) |
| [hxxp:// hadfanawass [。] com / sl / gate.php] | URL. | HANCITOR C2. |
| [hxxp:// rophenreswi [。] ru / sl / gate.php] | URL. | HANCITOR C2. |
| [hxxp:// mihesfitons [。] ru / sl / gate.php] | URL. | HANCITOR C2. |
| [hxxps:// krrewiaog3u4npcg [。] onion.to/sl/gate.php] | URL. | HANCITOR C2. |
| [hxxp:// quoApps [。] es / pm.dll] | URL. | 祝福尔下载小马 |
| [HXXP:// PosturePals [。] es / inst1.exe] | URL. | 祝愿哈兰特下载Vawtrak. |
| B1BA251CF4F494A00FF0D64A50004D839928DAC816AFB81C33AF51622BAF2C12 | SHA256哈希 | 5月4日丢弃了Ruckguv的文件 |
| 0B6E868C196C7AD80FAC72A7D02159CFA4F72AD657604CD3E5EB03C796DF01BA | SHA56哈希 | Ruckguv. |
| 2CCEBF5FEE30073E849895C6E43F6519017F226281C801777D72FEBCFBAF1F0D3 | SHA56哈希 | 小马(RuckGuv模块) |
| 9B11304E4362A8FBE2EE91D8E31D7AE5774019AAEEF9240C6878DA78BDF0BFA9 | SHA56哈希 | Vawtrak(Ruckguv Payload) |
| [hxxp:// logimax [。] in / ii.exe] | URL. | Ruckguv下载Vawtrak. |
| [hxxp:// tourjacket [。] me / ii.exe] | URL. | Ruckguv下载Vawtrak. |
| [HXXP:// UrbanreCreation [。]欧盟/ II.exe] | URL. | Ruckguv下载Vawtrak. |
| [hxxp:// tantrix [。] com [。] tr / pm.dll] | URL. | Ruckguv下载小马 |
| [hxxp:// therapeutica [。] com [。] br / pm.dll] | URL. | Ruckguv下载小马 |
| [hxxp:// therapeutica [。] com [。] br / pm.dll] | URL. | Ruckguv下载小马 |
选择ET签名,将在此类交通上发射:
2819959 ||etpro特洛伊木马祝福搬运工
2819978 ||etpro特洛伊庭/祝福尔/香港
2021997 ||ET策略外部IP查找API.IPIFY.ORG
2014411 ||et特洛伊哈哈的费车/ Pony Downloader Checkin 2
2022225 ||et trojan vawtrak http cnc灯塔
2813060 ||etpro木马Vawtrak检索模块
订阅校对点博客