网络犯罪分子常常会选用多层的加密或混杂技能来躲避安全产品的检测。对加密器和封装器的运用在当今歹意软件范畴正变得越来越盛行,它们不只能为歹意代码供给所谓的“FUD”(彻底无法检测)功用,而且还能躲藏额定的payload。 近来,Cybaze-Yoroi ZLab发现了一类风趣的样本,它是Nanocore长途管理东西(RAT)的变种之一,用到了Delphi封装器。下面是Yoroi实验室对此样本的剖析。 技能剖析 Nanocore RAT是一种“通用的”歹意软件,经过操作它的客户端进行进犯对一般人而言没什么太大难度。此次进犯事情中,进犯者瞄准了意大利的奢侈品职业,进犯由一封伪装成来自银行的垂钓邮件开端。
图1:部分截取的垂钓邮件 附件是一个7z格局的存档文件,包括一个Adobe Acrobat图标的有用PE文件,看来进犯者企图经过一个简略的手段来让用户信任它是一个合法的PDF文件。该PE可履行文件信息如下:
表1:Nanocore dropper/ NanoCore RAT的静态信息 接着咱们在样本上提取了一些静态信息:
图2:有关“trasferimento.exe”dropper / NanoCore RAT的信息 该样本是用“BobSoft Mini Delphi”编译器编译的,有两个重要特征:一是高水平的熵; 二是可履行文件中假造的编译时刻戳。 履行歹意软件时,咱们注意到歹意软件会履行一些查看来躲避检测。
图3:歹意软件查看的进程 上图展现了歹意软件所查看的一些进程,此操作是经过运用经典的Win32 API调用“CreateToolhelp32Snapshot”和“Process32Next”来履行的。
图4:用于查看翻开东西的API调用 假如查看的进程中没有一个处于活动状况,歹意软件就可以继续进行实践的感染:将Nanocore RAT的实践payload写入“%TEMP%”文件夹中。
图5:由加载程序和相关API调用编写的NanoCore payload payload会进一步加载到内存中,风趣的是,该payload在没有经过任何加密或混杂。
图6:嵌入在“trasferimento.exe”样本资源中的有用负载与写入%TEMP%文件夹的“non.exe”之间的比较 如上图所示,“trasferimento.exe”Delphi包装器有许多嵌入式资源(左边),其间一个包括整个Nanocore RAT的payload。右侧咱们列出了一个名为“2035”的资源和实在payload之间的差异剖析,“2035”左上角黄色杰出的是要在机器上植入的payload称号——“non.exe”,后续代码是相同的,也没有任何维护。“trasferimento.exe”组件运转计划使命以保证其持久性。
图7:歹意软件设置的使命调度程序 此刻,歹意软件会创立一个带有伪随机称号的xml文件,该称号包括其在核算机上持久性的装备。创立此文件后,歹意软件会生成“non.exe”进程,然后经过以下命令行从头生成本身。 schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:UsersadminAppDataLocalTemptmpC5A7.tmp”schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:UsersadminAppDataLocalTemptmpCB59.tmp” xml装备文件的主体如下: InteractiveToken HighestAvailable Parallel false false true false false false false true true false false false PT0S 4 ”C:UsersadminDesktoptrasferimento.exe” $(Arg0) 这两项计划使命的差异在于,一个引证“trasferimento.exe”进程,另一个引证“non.exe”进程。 它似乎是一种生计机制,在这种机制中,这两个进程都在起作用,并坚持感染的存活。[1][2]黑客接单网