前言

攻擊者越來越多的采用云來構(gòu)建自己的基礎(chǔ)設(shè)施，這樣不僅能夠使攻擊者以最少的時間或金錢部署攻擊基礎(chǔ)設(shè)施，也能讓追蹤攻擊行動變得更困難。

從 2021 年 10 月 26 日開始，研究人員發(fā)現(xiàn)多個遠控木馬開始通過云服務(wù)進行投遞傳播。

感染鏈從帶有惡意 ZIP 附件的釣魚郵件開始，ZIP 文件中包含一個帶有惡意程序的 ISO 鏡像文件。惡意程序的多種多樣，如 JavaScript、Windows 批處理文件或 Visual Basic 腳本。腳本執(zhí)行后，會通過下載服務(wù)器下載下一階段的攻擊載荷，攻擊者將下載服務(wù)器部署在基于 Azure 的 Windows 服務(wù)器或基于 AWS 的 EC2 實例上。

攻擊者使用的遠控木馬是 Netwire、Nanocore 和 AsyncRAT，并且利用免費動態(tài) DNS 服務(wù) DuckDNS 注冊了多個惡意域名。

攻擊載荷

Nanocore

Nanocore 通常是 32 位 .NET 可執(zhí)行文件，在 2013 年被首次發(fā)現(xiàn)，后來被各種攻擊者廣泛使用。

從發(fā)現(xiàn)的 Nanocore 樣本中提取配置信息后，可以確認攻擊者使用的是 1.2.2.0 版本（已泄露版本）的 Nanocore。樣本的構(gòu)建日期為 2021 年 10 月 26 日，使用的 C&C 服務(wù)器為 mback5338.duckdns.org。

Nanocore 配置文件

后續(xù)發(fā)現(xiàn)的 Nanocore 樣本也會使用其他不同的 C&C 服務(wù)器和端口號：

nanoboss.duckdns.org

justinalwhitedd554.duckdns.org

樣本中攜帶的是 Client 插件和 SurveillanceEx 插件，前者用于處理與 C&C 服務(wù)器的通信，后者用于提供對音視頻的捕獲和遠程桌面。

Netwire

Netwire 通常會竊取受害者的密碼、登錄憑據(jù)和信用卡數(shù)據(jù)等隱私信息，同時兼具命令執(zhí)行和竊取文件的功能。

通過寫入注冊表進行持久化：

HKEY_CURRENT_USER\Software\NETwIRe\HostId

HKEY_CURRENT_USER\Software\NETwIRe\Install Date

HKEY_CURRENT_USER\SOfttware\Microsoft\WIndows\CurrentVersion\Run\SysWOW32

AsyncRAT

AsyncRAT 通常會通過加密鏈接遠程監(jiān)控和控制計算機，攻擊者還可以通過 AsyncRAT 對失陷主機進行擊鍵記錄、屏幕錄像等操作。

AsyncRAT 創(chuàng)建互斥體 AsyncMutex_6SI8OkPnk作為失陷主機的感染標記。

AsyncRAT 互斥量

從 AsyncRAT 配置文件提取相關(guān)信息，C&C 域名是 asyncmoney.duckdns.org，使用的端口有 7829、7840、7841 和 7842。

AsyncRAT 連接 C&C 服務(wù)器

感染鏈

感染鏈起始的附件是一個 ISO 鏡像文件，其中包含惡意的加載程序。如下所示，攻擊者利用發(fā)-票文件來引誘用戶點擊打開：

釣魚郵件示例

ZIP 文件的起始字符是隨機生成的，可能與特定的攻擊行動有關(guān)。發(fā)現(xiàn)的一些文件名如下所示：

WROOT_Invoice_Copy.zip

YUEOP_Invoice_Copy.zip

HOO8M_Invoice_Copy.zip

TROOS_Invoice_Copy.zip

TBROO1_Invoice_Copy.zip

JavaScript Downloader

JavaScript Downloader 是一個有著四層混淆的腳本。

第一層

第一層去混淆由 ejv()完成，該函數(shù)將混淆數(shù)據(jù)的每個字符保存在數(shù)組中，執(zhí)行算術(shù)運算進行解密。

解密函數(shù)

緊接著繼續(xù)解密：

解密函數(shù)

第二層

其余加密內(nèi)容在第二層進行解密，將 ejv()解密的結(jié)果傳遞給解密函數(shù)。

去混淆的結(jié)果包含另一個解密函數(shù) Ox$()，這是第三層解密函數(shù)。

解密函數(shù)

第三層

第三層去混淆的結(jié)果是另一個混淆函數(shù)，包含多個函數(shù)調(diào)用來進行解密：

部分混淆惡意代碼

在分析另一個發(fā)現(xiàn)的 JavaScript 腳本時，與首次發(fā)現(xiàn)的不相同。這說明代碼有可能是自動生成和隨機化的，攻擊者想通過高度混淆使檢測變得更困難。

部分混淆惡意代碼

第四層

第四層是最后一層，在去混淆后可以發(fā)現(xiàn)這些代碼不僅僅是一個 Downloader，還具有其他功能。例如：

• 通過 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run進行持久化
• 通過 schtasks.exe配置計劃任務(wù)

計劃任務(wù)命令

• 通過 http://gg1592661.duckdns.org:7924/vre下載攻擊載荷。下載的是 Netwire、Nanocore 和 AsyncRAT 的變種，保存在臨時文件夾并執(zhí)行。
• 嘗試通過 Alternate Data Stream隱藏下載來源
• 通過 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId收集設(shè)備信息

通過遙測數(shù)據(jù)，除了 JavaScript 還發(fā)現(xiàn)了 Batch 和 VBScript 的腳本。

Batch Downloader

腳本中包含一個混淆命令，用以執(zhí)行 PowerShell 下載攻擊載荷，本例中通過 Azure Cloud 上的服務(wù)器 13.78.209.105進行下載。

Batch Downloader 示例

VBS Downloader

腳本通過 PowerShell 命令連接到服務(wù)器，服務(wù)器部署在 AWS EC2 上的 52.27.15.250。

VBScript Downloader 示例

PowerShell Dropper

在 Azure 的服務(wù)器上發(fā)現(xiàn)了一個使用 HCrypt 構(gòu)建的 PowerShell 腳本。該腳本會在失陷主機上下載并運行 AsyncRAT 的變種，類似的程序也被趨勢科技的研究人員在名為 Water Basilisk的攻擊中發(fā)現(xiàn)。

PowerShell Droper 示例

去混淆后的數(shù)據(jù)就是二進制文件本身。這個包含 Payload 的字符串，連同一個包含注入 .NET 程序 DLL 模塊的字符串，一同被傳遞給函數(shù) H2 轉(zhuǎn)換為二進制字節(jié)數(shù)組。

去混淆注入

這個數(shù)組將會被加載注入：

去混淆 PowerShell 命令

腳本會嘗試啟動進程 aspnet_compiler.exe并注入 Payload 執(zhí)行。樣本連接的 C&C 服務(wù)器是 yuri101.duckdns.org，部署在 64.188.16.134。

PowerShell 感染鏈

攻擊基礎(chǔ)設(shè)施

攻擊者維護了一個分布式攻擊基礎(chǔ)設(shè)施，包括下載服務(wù)器、C&C 服務(wù)器和惡意域名，下載服務(wù)器利用 Microsoft Azure 或 AWS 的云服務(wù)。

利用的 Azure 云服務(wù)包括：

• 13.78.209.105 在美國西部區(qū)域，FQDN 名稱為 GOOGLE
• 23.102.1.5 在北歐區(qū)域，并啟用了 SMB 身份驗證
• 40.85.140.7 在北歐區(qū)域
• 52.150.26.35 在美國東部區(qū)域，FQDN 為 spinxamp
• 13.82.65.56 在美國東部區(qū)域
• 137.135.65.29 在美國東部區(qū)域，FQDN 為 sj-2nd并啟用了 SMB 身份驗證

利用 AWS 云服務(wù)是 52.27.15.250，FQDN 為 ec2-52-27-15-250.us-west-2.compute.amazonaws.com，但不確定此實例的操作系統(tǒng)。

一些下載服務(wù)器運行的是 Apache 服務(wù)器：

開放目錄

每個遠控木馬都根據(jù)配置文件連接對應(yīng)的 C&C 服務(wù)器，IP 地址如下所示：

103.151.123.194

185.249.196.175

64.188.16.134

惡意域名如下所示：

asyncmoney.duckdns.org

nwire733.duckdns.org

mback5338.duckdns.org

yuri101.duckdns.org

惡意域名

攻擊者利用免費的動態(tài) DNS 服務(wù) DuckDNS 創(chuàng)建惡意域名，一些域名綁定在 Azure Cloud 上的服務(wù)器，另一些域名綁定在 C&C 服務(wù)器上。

gg1592661.duckdns.org

btime1624.duckdns.org

justinalwhitedd554.duckdns.org

wz303811.duckdns.org

js1994.duckdns.org

backu4734.duckdns.org

www.backu4734.duckdns.org

mback5338.duckdns.org

nwire733.duckdns.org

asyncmoney.duckdns.org

nanoboss.duckdns.org

asyncspread.duckdns.org

tdeasy.duckdns.org

dingspread.duckdns.org

asyncpcc.duckdns.org

jw9428875.duckdns.org

meunknown.duckdns.org

yuri101.duckdns.org

從域名請求來看，攻擊行動應(yīng)該是從 2021 年 10 月開始的。

gg1592661.duckdns.org 的 DNS 請求

受害者

通過遙測數(shù)據(jù)，受害者主要來自美國、加拿大、意大利和新加坡，少量分布在西班牙和韓國。

結(jié)論

攻擊者正在積極利用云服務(wù)構(gòu)建自己的攻擊基礎(chǔ)設(shè)施，研究發(fā)現(xiàn) Nanocore、Netwire 和 AsyncRAT 就正在這么做。攻擊通過釣魚郵件進行傳播，電子郵件仍然是需要防范的重點位置。

總結(jié)

以上是生活随笔為你收集整理的安全研究人员发现：Nanocore等多个远控木马滥用公有云服务传播的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。