攻防最前線:新型蠕蟲BLADABINDI可通過移動驅動器傳播無檔案後門
BLADABINDI,也被稱為njRAT或Njw0rm,是一種遠端訪問木馬(RAT),具有眾多後門功能——從鍵盤記錄到執行分散式拒絕服務(DDoS)。自首次出現以來,該木馬就已經在各種網路間諜活動中被重新編譯和使用。事實上,BLADABINDI的可定製性以及可以在暗網地下黑市購買到的特性使得它成為一個廣泛存在的威脅。舉個例子:在上週,趨勢科技就遇到了一種蠕蟲病毒(由趨勢科技檢測為Worm.Win32.BLADABINDI.AA),它通過可移動驅動器傳播,並安裝了BLADABINDI後門的無檔案版本。
雖然趨勢科技表示他們尚不清楚惡意檔案是如何被放入受感染系統的,但其傳播例程表明它是通過可移動驅動器進入系統的。除此之外,BLADABINDI對靈活且易於使用的指令碼語言AutoIt的使用也是值得注意的。它使用AutoIt(FileInstall命令)將payload和主指令碼編譯成了單個可執行檔案,這會使得payload (後門)很難被檢測出來。
圖1.用於展示已編譯AutoIt指令碼常見痕跡的螢幕截圖(突出顯示部分)
技術分析
趨勢科技使用了AutoIt指令碼反編譯器來解析可執行檔案的AutoIt指令碼,發現指令碼的主函式首先會從系統的%TEMP%目錄中刪除所有名為“ Tr.exe”的檔案,以便它可以放入自己的 Tr.exe版本。放入的檔案將在終止了具有相同名稱的所有程序之後執行。另外,它還會將自身的一個副本放入同一個目錄中。為了建立永續性,它會在%STARTUP%目錄中為檔案新增快捷方式。
為了進行傳播,它會將自身的隱藏副本放到在受感染系統上找到的所有可移動驅動器中。與此同時,它還會放入一個快捷方式檔案(.LNK),並將可移動驅動器上的所有原有檔案從其根目錄移動到一個名為“sss”的新建資料夾中。
圖2.此程式碼快照用於展示經過反編譯的指令碼
圖3.此程式碼快照用於展示如何使用AutoIt的FileInstall命令將AutoIt指令碼與任何檔案捆綁在一起,然後在指令碼執行期間載入這些檔案
圖4:此程式碼快照用於展示快捷方式是如何被新增的(上)以及它如何通過可移動驅動器傳播(下)
放入的Tr.exe實際上是另一個經AutoIt編譯的可執行指令碼(Trojan.Win32.BLADABINDI.AA)。對它進行反編譯,可以看到它包含一個base-64編碼的可執行檔案,它將在登錄檔HKEY_CURRENT_USER\Software中的一個名為“Valuex”的登錄檔值中寫入。
它還將建立另一個值,以建立永續性。它將使用一個名為“AdobeMX”的自執行登錄檔(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)來執行Shell/">PowerShell,以通過反射載入(從記憶體而不是從系統的硬碟載入可執行檔案)來載入經編碼的可執行檔案。
由於可執行檔案直接從登錄檔載入到PowerShell的記憶體,因此研究人員能夠轉儲惡意可執行檔案所在的特定地址。趨勢科技發現,它是採用.NET編譯的,並使用了商業程式碼保護軟體進行混淆。
圖5:用於展示PowerShell載入經編碼的可執行檔案的螢幕截圖
BLADABINDI/njRAT payload
BLADABINDI後門的變種使用了water-boom[.]duckdns[.]org來作為其命令和控制(C&C)伺服器,位於埠1177上。與之前的BLADABINDI變種一樣,與這個無檔案版本的C&C伺服器相關的URL使用的是動態域名系統(DNS)。這允許攻擊者隱藏伺服器的實際IP地址,或根據需要來更改/更新它。
從C&C伺服器下載的所有檔案都作為Trojan.exe儲存在%TEMP%資料夾中。它使用字串5cd8f17f4086744065eb0992a09e05a2作為其互斥鎖以及受感染計算機中的登錄檔配置單元。它使用值 tcpClient_0作為它的HTTP伺服器,在那裡它將接收從受感染計算機中竊取的所有信息。但是,由於該值被設定為null,因此所有被竊取的資訊都將傳送到相同的C&C伺服器。
當後門執行時,它會建立一個防火牆策略,將PowerShell的程序新增到白名單中。BLADABINDI的後門功能如圖7所示,包括鍵盤記錄、檢索和執行檔案,以及從Web瀏覽器竊取憑證。
圖6:用於展示BLADABINDI變種配置的程式碼快照(上)以及它如何建立防火牆策略來將PowerShell新增到白名單中(下)
圖7.該BLADABINDI變種的後門功能
最佳實踐
這個蠕蟲病毒的payload、傳播方式以及在受感染系統中以無檔案形式傳播後門的技術,使其成為一個重大的威脅。使用者,尤其是仍在工作中使用可移動媒體的企業應該採取必要的安全防衛措施。限制和保護可移動媒體或USB功能,或PowerShell之類工具的使用(特別是在具有敏感資料的系統上),並主動監控閘道器、端點、網路和伺服器,以檢視異常行為和跡象,如C&C通訊和資訊竊取。
IoC
相關雜湊(SHA-256):
- c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e -Worm.Win32.BLADABINDI.AA
- 25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830 - Win32.BLADABINDI.AA
相關惡意URL:
- water[-]boom[.]duckdns[.]org(C&C伺服器)
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。