【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

我們在日常的網絡監測中,對許多僞裝的電子郵件進行了攔截。這些郵件利用正在發生的冠狀病毒有關的 FMLA (《家庭醫療休假法》)要求,使用 Himera 和 Absent-Loader 這兩種網絡犯罪工具對數據進行了處理。

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件郵件示例

加載程序是一種惡意代碼,用於將其他惡意軟件代碼加載到受害者的計算機中並對數據進行竊取。攻擊者們會把被盜取的信息進行售賣,來獲得相應的報酬。

技術分析

此惡意活動中的樣本首先使用 Word 文檔(該文檔指的是可執行文件),然後再刪除另一個可執行文件並進行重命名,藉此來逃避檢測。下圖顯示了此惡意活動中的感染鏈:

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

感染鏈

惡意電子郵件還包含 .doc 附件。以下是此文件的靜態信息:

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

該文檔的有趣之處在於它不利用任何類型的宏或漏洞,而是將整個可執行文件作爲嵌入式對象包含在其中,會誘導用戶雙擊可執行文件的惡意圖標。

此外,一旦單擊此文件,它就會允許該惡意文檔執行名爲 HimeraLoader.exe 的惡意文件。

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

查看 HimeraLoader.exe 跟蹤,我們注意到在惡意代碼的初始加載過程中創建了一個非常有特色的互斥對象 :Himera Loader v1.6 互斥對象。

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

Himera Loader Mutex

此外,該示例還使用 Windows API 執行了一些經典的反分析技巧,例如“IsDebbugerPresent”、“IsProcessorFeaturePresent”和“GetStartupInfoW”。如果存在調試器,則在程序流中採用不同的路徑。函數 GetStartupInfoW 以一個指向 STARTUPINFO 結構的指針作爲參數,檢索在創建調用進程時指定 STARTUPINFO 結構的內容,該結構接收啓動信息並且沒有返回值。

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

加載程序的相關字符串

當 Himera Loader 執行並通過所有反分析技巧時,它將從_http:]//195.]2.]92.]151/ad/da/drop/smss.]exe_收集另一個二進制文件。其遠程服務器由 Hosting Technologies LLC 進行運營。

AbSent-Loader

Dropurl 中下載的文件具有以下靜態信息:

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

執行“smms.exe”時,它將自身文件複製到%TEMP%路徑的新文件 winsvchost.exe 中,並對計劃任務進行創建:

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

計劃任務的證據

此外,該惡意軟件還採用了一些有趣的反調試技術,如 GetTickcount(該技術與我們上一份報告中描述的技術非常相似)。將這兩個值相減後放在 EAX 寄存器中,在“調用 eax”指令之後,立即減去第一個 GetTickCount API 調用,然後執行第二個文件。

【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件

GetTickCount 反調試技術該惡意軟件每 15 分鐘建立一次 TCP 連接。這些連接被定向到由 Hosting Technologies LLC (195.2.92.151)運營的同一遠程主機上,但這次會將 HTTP POST 請求發送到“/ad/da/gate.php”資源中。

有效負載內一些相關字符串

該有效負載是 AbSent-Loader 的新版本,儘管是最新版本,但惡意軟件缺乏更加高級的功能。其內容卻足夠複雜,可以保持對受害者主機持久性的攻擊,後續更新升級的惡意軟件的內容也會同步進行植入。

結論

近期我們觀察到惡意軟件的攻擊和信息的截獲是網絡威脅的一個全新方面:攻擊者們進行這些行爲的唯一目的是獲得經濟收益來支持 Covid19 的響應。

在這個特定時期,網絡空間對公司和人員的風險越來越大,而攻擊者們利用所有可能的媒介來賺錢,損害了公司的利益。因此,我們強烈建議公司應該增強其網絡安全範圍。

IoCs

Hashes

97FA1F66BD2B2F8A34AAFE5A374996F8
4620C79333CE19E62EFD2ADC5173B99A
4D2207059FE853399C8F2140E63C58E3

C2

http://195.]2.]92.]151/ad/da/drop/smss.%5Dexe
http://195.]2.]92.]151/ad/da/gate.%5Dphp

Mutex

HimeraLoader v1.6

YARA rules

    import "pe"  
    import "math"  
     rule HimeraLoader_May2020{  

        meta:  
          description = "Yara Rule for HimeraLoaderV1.6"  
          author = "Cybaze Zlab_Yoroi"  
          last_updated = "2020-05-29"  
          tlp = "white"  
          SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74"  
          category = "informational"  

        strings:  
             $a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF}  
             $a2 = {6A 07 0F B7 D0 8D 7D E0 59 33}  
             $a3 = "mscoree.dll" wide  
             $a4 = "KViKZjK]EZA^yG@JA"  

        condition:  
         uint16(0) == 0x5A4D and all of them  
    }  


    rule AbsentLoader_may2020{  
        meta:  
            description = "Detects Absent Loader distributed in COVID-19 theme"  
            author = "Cybaze @ Z-Lab"  
            hash = "4D2207059FE853399C8F2140E63C58E3"  
            last_update = "2020-05-18 12:37:28"  
            tags = "DOC, EXE, FILE, MAL, LOADER, COVID19"  

        strings:  
            $s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15}  
            $s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide  

        condition:  
            uint16(0) == 0x5A4D and  
            uint32(uint32(0x3C)) == 0x00004550 and  
            pe.number_of_sections == 6 and  
            $s1 at entrypoint and  
            $s2 and  
            filesize > 900KB and  
            pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and  
            pe.sections[5].name == ".DATA" and  
            math.entropy(0, filesize) >= 6  
    }

文章來源:烏魯木齊網警猜你喜歡【安全圈】一張圖片引發的“慘案” 三星手機集體宕機的“元兇”找到了【安全圈】8 種流行的安全工具,你還有補充嗎?【安全圈】發現 26 個 USB 漏洞:Linux 18 個 Windows 4 個【安全圈】孟晚舟命運 28 日凌晨 2 時揭曉引渡美國案將有關鍵裁決【安全圈】剖析:美國製裁 360 背後的“多重忌憚”涉案 10 億!福建網警一舉打掉 17 個第四方支付平臺!【安全圈】“黑客世界盃”預選賽落幕 , 中國戰隊騰訊 A0E 首次斬獲冠軍【安全圈】違法收集個人信息 APP 十案例 獵豹清理大師、印象筆記在列
【安全圈】黑客掌握大量黑料!勒索特朗普 3 個億,定金已支付,白宮拒絕評論
【安全圈】臺灣省“總統府”內網遭黑客入侵,島內上演政治版陳冠希事件【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件【安全圈】Himera 和 AbSent-Loader 利用 Covid19 主題傳播惡意軟件你點的每個贊,我都認真當成了喜歡

來源鏈接:mp.weixin.qq.com