伪装为Windows工具的恶意软件

ang010ela Web安全 2018年9月6日发布

导语:本文分析一款通过钓鱼邮件活动来传播的新恶意软件——Dark Comet RAT。

该恶意软件是一款RAT木马,但是伪装成了开源的小工具PeaZip。研究人员发现恶意软件作者复制了文件信息,使其看起来很像合法的PeaZip软件。分析发现,该恶意软件实际上是一个重打包的Dark Comet RAT木马,本文对该恶意软件进行深入分析并讨论相应的发现。

过去,该恶意软件的一个版本已经攻击过另一个主流的Heaventools的产品PE EXPLORER,本文也将分析其相关性。

首先看一下恶意软件的对比,包括恶意软件二进制文件、配置文件,这些文件主要来自于原始软件。

图片.png

二进制文件比较

图片.png

恶意软件配置文件

Heaventools

恶意软件之前已经攻击过PE Explorer,恶意软件通过打包使其看起来很像真实的PE Explorer,并通过钓鱼邮件活动进行传播。

图片.png

恶意软件打包成Heaventools软件产品

与伪装为Heaventools的PE Explorer的恶意软件代码对比,可以看出PeaRAT中的代码中有很多相似性。一些数据字符串也是相同的,二进制文件的RCData也是相同的。

图片.png

PeaRAT

在恶意软件中有很多的线索都指向了俄罗斯(至少是说俄语)的MalActor。下面是从二进制文件中提取的一些图标:

图片.png

通过以上分析就建立了MalActor过去的版本和恶意软件本身的关联。下面对恶意软件进行分析:

下面是从恶意软件中提取的一些模块和函数

User32.dll

GetKeyboardType
CreateWindowExA

Comctl32.dll

_TrackMouseEvent

Urlmon.dll

URLDownloadToFileA

Shell32.dll

ShellExecuteA

Winspool.drv

OpenPrinterA

代码分析

下面进行代码和恶意软件执行过程的分析:

恶意软件是经过打包的,使用的包是ASProtect v1.0。在解包后,恶意软件创建了一个从Music文件夹启动的子进程。

出于分析的目的,下面对创建的子进程进行分析:

图片.png

从下图可以看出,恶意软件使用基本函数来获取进出栈的数据,并用做后期的处理。

从中可以看出其他RAT类的代码,向栈中推送数据(时间和日期等):

图片.png

我们看到一个下入磁盘的文件,下面是代码的执行过程和执行的结果分析:

图片.png

可以看到,上面看到的内存中的文件现在在磁盘中了:

图片.png

 这是文件的内容,可以看到计算机上发生的所有活动的日志文件:

图片.png

下面对图中标号的事件进行分析:

1.通过调试器(Olly)启动进程;

2.复制到剪贴板的值(复制regex来找出memdump中的IP地址);

3.尝试从开始菜单来启动notepad;

4.在memdump中运行字符串搜索;

5.保存文件;

6.打开恶意进程的特性。

下面看一下代码的网络端:

为了从二进制文件中提取网络IoC,研究人员在网络函数段中插入了内存(读/写)中断。当执行到该区域后,就会中断并看到写入内存的C2 IP地址。

图片.png

代码成功执行后,该值就会传递给寄存器:

图片.png

下面的动图就是函数的执行过程:

tcp~2.gif

下面是在被C2访问前传递给栈处理的信息:

 

图片.png

结论

恶意软件已经通过不同的版本运行了一段时间了,反病毒软件还没有正确的识别出。反病毒软件甚至将恶意软件的早期版本识别为generic、Dynamer、Barys等,但这并不能说明是恶意的。因为MalActor尝试通过合法软件推送恶意软件,因此之后也可能会攻击其他公司的产品。

MalActor有一个非常聪明的动作就是将恶意软件打包为PeaZip。因为PeaZip是一个著名的压缩解压软件,所以可以在同一封钓鱼邮件中捆绑其他恶意软件,并要求受害者来解压附件中的其他恶意软件。

因此,在安装软件之前最好先检查软件的合法性。

本文翻译自:https://blog.joshlemon.com.au/new-malware-posing-as-popular-archiving-tool-peazip/如若转载,请注明原文地址: http://www.4hou.com/web/13338.html
点赞 8
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论