PUAs的武器化
早在90年代,網際網路上的惡意軟體、黑客攻擊等並沒有這麼瘋狂,但病毒和一些蠕蟲已經開始出現,雖然有些非常危險,不過絕大多數都是沒事的。搞怪程式或其他具有非破壞性有效載荷的類似程式都是那個時代的一部分。許多人並不是真正的惡意軟體編寫者,而是熟練的開發人員,他們希望通過開發諸如開啟CD-ROM或在螢幕上顯示不同角色等行為的小型軟體,讓人們有時間嚇唬人或開個玩笑。不幸的是,這些無辜軟體其中的一類變成了嚴重的危害——PUA。在本文中,我們將定義PUA,描述其固有風險及如何被惡意軟體利用。
一、何為PUAs
PUA是“Potentially Unwanted Application”的首字母縮寫。這是AV供應商用來標記可被惡意使用者濫用的特定應用程式。從這個意義上講,這些程式並非惡意,本身也不一定有風險。關鍵在於如何使用和造成的後果。
二、為什麼要小心PUAs
答案很簡單,系統管理工具和具有類似功能的其他工具也可以歸入PUA。當用戶使用這些軟體(從系統管理到密碼恢復)時,確實很有效。當非專業人士有特定需求時,這些工具非常有用,可以節省時間。
但實際上這種情況很少見。大多數情況下,使用者只利用這些程式提供的一小部分功能。相反,它們通常用於在攻擊或感染機器時為惡意行為者提供更強大的功能。
此外,攻擊者有時會使用從Internet下載的第三方工具(而不是自己建立的工具),並將其作為整合元件嵌入到攻擊框架中,增加其惡意載荷。一些攻擊者足夠聰明,以壓縮(Packers)、加密(Crypters / Protectors)或混淆(Obfuscators)的形式修改原始工具,其目的是隱藏邏輯、程式碼及動作。這些策略使得PUA足夠強大從而可以規避檢測,由此增加其在目標網路中的駐留時間,這是該“規避”策略的主要目的之一。因為攻擊發現的週期越長,就能帶來越多利益。
三、熱門系統管理工具
NirSoft 是一個提供系統管理工具的網站,包括以不同形式(例如瀏覽器、郵件客戶端、遠端訪問客戶端、無線網路、路由器等)專注於密碼恢復的子工具集。這些工具通常被反病毒(AV)供應商標記為PUA。另一個具有類似工具集的熱門網站是 Security Xploded 。
在NirSoft網站上,截至本文釋出時,共有28個與“Password Recovery Utilities”相關的工具。
對於不熟悉這些工具的人,下面是對其中一個工具的描述,稱為“Network Password Recovery”。其官方說明為:
Windows允許儲存密碼,以便在每次連線遠端伺服器時使用它。此實用程式可恢復系統上儲存的當前登入使用者的所有網路密碼。只要知道最後一次登入密碼,它還可以恢復儲存在外部驅動器憑據檔案中的密碼。
下面是從官方網站上獲取的圖片,該圖顯示了在本地計算機執行此特定工具後收集的憑據資訊。
圖1. Network Password Recovery – 收集的資料
這些工具具有靈活和強大的功能,特別是NirSoft工具(攻擊者的首選之一),包括對命令列引數的支援,因此可以通過外部指令碼(批處理檔案、WSH、VB、JavaScript等等)或程式(直接來自launcher或dropper)輕鬆管理它們。這些工具還可以生成不同格式的輸出檔案(例如,txt,csv,xml,html,KeePass等)以供後續處理。一旦攻擊者使用其中一些工具發動攻擊,他們就會以某種方式執行它,收集資料並將其傳輸到C&C伺服器。
2015年10月18日,NirBlog的網站(nirsoft.net的官方部落格)上釋出了一篇部落格文章,該工具的作者分享了他對AV供應商如何將他的工具視為惡意工具以及未正確通知客戶這些工具的擔憂,特別是password-recovery,不應該這樣標記。在同一篇博文中,他分享了一個表格,顯示有多少供應商將他的工具檢測為惡意工具。儘管博文從開發人員的角度看似乎是有效的,但從AV供應商的角度來看,這個論點並不完全適用。很明顯,AV供應商必須始終以可疑的方式警告任何已知或可疑行為的部件。根據NirSoft的假陽性報告,AV供應商在2004年開始將密碼恢復工具標記為PUA。
想象一下這樣一個假設場景:機器遭到入侵,攻擊者上傳netcat到受影響的機器,這個工具不僅以網路測試和故障排除為目的,而且通常還會被攻擊者用作後門以供後續訪問。該工具通常被標記為PUA,因為其功能的性質很容易被濫用。如果受感染系統的所有者安裝了AV,沒有注意到並警告使用者他的系統上存在該工具,那麼該使用者將有合法權利指責AV供應商未正確注意/阻止該程式。畢竟,如果使用者知道使用PUA的上下文,大多數AV軟體都能有將使用者選擇的程式列入白名單的功能,但如果沒有明確標識為授權,程式必須被視為PUA。
四、PUA武器化
最近,在著名的 Emotet 銀行木馬中發現了一個活躍的活動,它使用了免費系統工具但目的不明。 US-CERT今年(2018年)釋出了針對這個特定版本的Emotet的警報,提到其使用了NirSoft Password-Recovery工具。
常見的惡意軟體多年來一直在這樣做,但隨著時間的推移,更多的威脅參與者和組織正在出現,並且這些工具的使用正在增加。例如,BitDefender發現了由 Netrepser 組織發起的針對性攻擊,這是眾所周知的眾多威脅組織之一,他們在發起的攻擊中使用第三方元件(部分來自上述NirSoft工具集)。
五、NirSoft工具集及檢測
在FortiGuard研究實驗室中,我們經常會看到在惡意軟體在沙盒執行過程中存在這些工具,通常是在第二階段,由主(啟動程式)惡意軟體的外部元件控制的釋放檔案。每個AV供應商都使用自己的命名約定,對於NirSoft的password-recovery類,我們使用以下內容:Riskware / ChromePass,Riskware / PstPassword,Riskware / NetPass和Riskware / Dialupass等。
下面的餅圖顯示了與2018年11月26日下載的Password-recovery工具相關的所有樣本和相關檢測類別(未打包或保護)。
圖 2. NirSoft Password-Recovery Tools
基於這些資料,人們可以看到“Riskware / NetPass”類的流行程度很高,其中包括三個工具:“Network Password Recovery”,“IE PassView”和“Opera PassView”。
通過利用惡意軟體分析系統,我們還確定了使用上述工具的不同惡意軟體樣本,但其內容經過修改以規避檢測。查詢樣本之間的關係並非易事,但是,有許多方法可以使用某些資訊來獲取它們,無論是通過檔名、原始檔名(通過解析可執行檔案的VERSIONINFO資源的內容)、啟動程式/釋放的二進位制檔案中的URL,以及Common AV簽名匹配等。
在一個樣本調查期間,我們發現其中一個樣本是獨立樣本(MD5:0fd18e3cc8887dc821a9f8c4e481a416),這是一個.NET程式樣本,顯然與攻擊行動或組織無關。但是,這是一個很好的例子,因為它使用NirSoft工具用於惡意目的。如前所述,攻擊者並不總是下載外部工具並將其實施到他們自己的攻擊框架中。相反,他們試圖通過隱藏程式碼來隱藏它們,使惡意軟體分析人員難以檢測或分析。
RDG Packer Detector,這個特定的樣本受到名為“ Enigma Protector ”的商業工具的保護,該工具主要用於頒發一許可並防止軟體盜版,從而保護可執行檔案。但是,惡意軟體編寫者也使用它來保護他們的工具。
圖3.受Enigma Protector保護的惡意軟體樣本
一旦惡意軟體被執行,它就會釋放工具並通過提供命令列引數來執行,儲存收集的資料(例如mspass.exe / stext <destination_file.txt>)供以後使用。
在下圖中,可以看到在惡意軟體執行期間如何執行“WebBrowserPassView.exe”,“mspass.exe”和“ProduKey.exe”。
圖4.使用三個Password-Recovery工具的惡意樣本
如果我們與惡意軟體同處一臺計算機上,並且僅執行“WebBrowserPassView”,則該工具將在瀏覽器中顯示儲存的憑據,這是其預期行為。
圖5. Firefox瀏覽器中的儲存憑據
但是,一旦收集活動完成,惡意軟體就會將資訊傳輸給C&C伺服器。在下圖中,可以看到HTTP請求中使用的引數及其相關值,其中“u =”是URL,“p =”是密碼,“l”是登入名。
圖6.將儲存的瀏覽器憑據傳輸到C&C伺服器
為了確認此惡意軟體有多少憑據竊取例程,有多少是基於密碼恢復工具,哪些是由惡意軟體作者開發的,我們解壓縮樣本檢查其中的真實程式碼,以便識別它們並確認此惡意軟體能夠執行的其他操作。我們發現該惡意軟體僅使用了三個NirSoft工具,但該惡意軟體作者還開發了其他例程來竊取來自其他流行網路和即時訊息客戶端的憑據,例如:CoreFTP,FileZilla和SmartFTP等。
圖7.惡意軟體樣本所針對的應用程式
此惡意軟體對NirSoft工具的主要用途屬於與密碼相關的類別。但是這個特定的示例還使用了一個名為“ ProductKey ”的附加系統工具,其描述為:“恢復丟失的Windows產品金鑰(CD-Key)和Office 2003/2007產品金鑰。”。
圖8.顯示軟體序列資訊的ProduKey工具
此工具已被Fortinet Antivirus檢測為“Riskware / ProductKey”,收集的資料用於將金鑰洩露給攻擊者的C&C,大概是用於使用者識別。這是一個明顯的例子,說明如何使用功能強大的應用程式直接從計算機恢復序列號(因為軟體許可證丟失了),但是在惡意使用者手中可以用於完全不同的目的。
此惡意軟體樣本會傳輸前面提到的工具收集的資料。使用者收集的資料不僅結合了惡意軟體本身收集的資訊,還結合了ProduKey輸出,包括:當前使用者、Windows版本和Windows序列號,如下圖所示。它顯示了傳送到C&C伺服器的HTTP請求的網路捕獲資料,確認攻擊者可以為同一目標捆綁不同類的工具,在本例中,將密碼恢復與其他系統相關工具結合使用。
圖9. 傳輸作業系統序列號資訊
六、總結
使用獨立系統工具一直是IT行業中許多人的預設選項,尤其是IT支援人員。這些工具提供了一種在處理自動化,恢復或簡單地在使用計算機時的簡捷方法。
事實上,NirSoft和類似工具在其原始形式中並不是惡意的,但是一旦將它們安裝在計算機上,特別是在企業環境中,它們的存在可能有潛在風險,具體取決於計算機所有者及其在使用系統時的日常活動,因為它們可以很容易的被用於非法目的。
PUA很容易被惡意軟體修改的原因是具有內建的靈活性,特別是在自動化方面,這使得攻擊者能夠以最小代價輕鬆地開發出複雜的威脅工具,整合到攻擊者工具包中惡意使用。
諸如Emotet等高階惡意軟體威脅以及越來越多的網路犯罪團體利用這些工具,相關威脅肯定會繼續出現。幾乎可以肯定的是,惡意軟體開發人員和犯罪組織將在未來很長一段時間內繼續將這些工具納入其攻擊框架中。