BrushaLoader 1年后仍然活跃

ang010ela 新闻 2019年11月12日发布
Favorite收藏

导语:从2018年6月首次出现至今,BrushaLoader仍然被恶意软件广泛应用,活跃于各攻击活动之中。

概览

BrushaLoader是攻击者常用的一款下载器其用来获取受感染设备的信息,然后根据设备的情况来加载更多的payload。BrushaLoader这样的恶意软件在感染上不仅数量多,质量也很高。以致于攻击者可以绕过安全产品的检测更好地隐藏。同时,如果攻击者选择将勒索软件作为第二阶段payload,加载器也可以传播类似的破坏性的感染。

BrushaLoader是2018年6月首次出现的。截至目前已经过去1年了,但该恶意软件仍然出现在大量攻击活动中。研究人员从C2 panel中找到了该恶意软件的作者名Rusha。

 

图1: BrushaLoader C2 panel: "Copyright"

分析

BrushaLoader恶意软件执行后,会接收到一个名为PowerEnum的PowerShell,如图2所示。

 图2: rushaLoader传播和后感染活动的HTTP部分

PowerEnum会在受感染的设备上获取指纹信息,并发送数据到C2服务器。通信是通过到BrushaLoader的原始TCP parallel channel来实现的。PowerEnum也用来发送保存在Dropbox中的任务,最近开始保存在Google Drive中。

PowerEnum与BrushaLoader是一体的,而且共享一些C2基础设施。而且研究人员还发现PowerEnum在传播Danabot Affid "4"作为Fallout EK payload,如图3所示。

图3: Fallout EK释放PowerEnum,下载Danabot Affid 4和BackConnect Socks.dll

Payloads

BrushaLoader与Danabot banking Trojan Affid "3"强关联。但这种关联并不是排外的,也就是说它与其他恶意软件也有一定的关系,如图4所示。

 图4: 2018年与BrushaLoader 有关的其他攻击活动

图4中列出了一些关键的事件:

不常见的Payload:

· Ursnif in Italy

· Gootkit in Canada

· Nymaim in Poland

C2 panel

在传播活动中,研究人员发现了BrushaLoader C2 panel,并非常惊讶使用压缩的VBS附件的基本攻击活动竟然成功了。虽然需要一些用户交互,但攻击者仍然成功在36小时内让4000多个计算机被黑,如图5和图6所示。

图5: BrushaLoader C2 panel – 运行几小时之后的受害者分布

 

图6: BrushaLoader C2 panel – 运行24小时之后的受害者分布

图7: BrushaLoader C2 panel – 运行36小时之后的受害者分布

图8: BrushaLoader C2 panel – 命令和任务

图9: BrushaLoader C2 panel – 主页

 图10:  BrushaLoader C2 panel – Google Drive link

 图11:  BrushaLoader C2 panel – jSloader配置

结论

虽然下载器在攻击活动中也是常用的,但是BrushaLoader与多个第二阶段payload都有关联,比如DanaBot。研究人员在多个恶意软件攻击活动中都发现了BrushaLoader。经过分析发现,加载器的感染成功速率非常高,因此有许多的恶意软件使用它来传播payload。

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/brushaloader-still-sweeping-victims-one-year-later如若转载,请注明原文地址: https://www.4hou.com/info/news/19368.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论