本文将主要针对PNG Dropper恶意软件进行分析,这一恶意软件是由Turla组织开发和使用的。PNG Dropper在2017年8月被Carbon Black研究人员首次发现。早在2017年,该恶意软件就被用来分发Snake。但是最近,NCC的研究人员发现了一个带有新型Payload的样本,我们在内部将其命名为RegRunnerSvc。值得注意的是,这种威胁还有其他我们无法获得的组成部分。其中,有一个第一阶段的Dropper,将会投放并安装PNG Dropper(RegRunnerSvc)。我们非常有必要记录PNG Dropper的这种新用途。 PNG Dropper关于PNG Dropper组件的详细信息,已经由Carbon Black研究团队进行了记录,但为了清晰起见,我们在这里将对其进行简要描述,并说明其工作原理。Dropper的目的是加载并运行隐藏在众多PNG文件中的PE文件。上图展示了Dropper的资源。在这里,我们可以看到一个名为“PNG”的二进制数据的资源项。所有这些资源都有有效的PNG文件,可以使用任意支持这种文件格式的图像查看器打开,但在打开后,我们无法看到任何有意义的图像内容。举例来说,打开其中的一个文件,我们只能看到其中的几个彩色像素(如下图放大版本所示)。PNG文件使用Microsoft的GDI+库加载。在下图中,我们看到其调用了LockBits,用于从PNG文件中读取像素数据。像素数据中的每个字节代表像素的RGB值。在每个RGB值中编码的是来自PE文件的字节。之所以没有形成一个有意义的图像,是因为恶意软件将数据隐藏在了看似合法的资源之中。我们通过枚举每个PNG资源,提取其中的像素数据,并将它们组合在一起,最终获得到了完整的PE文件,正是内存中的完整PE文件。然后,Dropper会手动加载PE文件。对于导入和重定位的处理过程也大致一致,最后将执行整个PE文件的入口点,如下图所示。 RegRunnerSvcPNG Dropper将从PNG资源中解码,随后运行RegRunnerSvc。RegRunnerSvc的目的是从注册表中提取加密的Payload,将其加载到内存中,然后运行。第一阶段的Dropper(我们目前还未获得)已经将它作为服务安装,同时执行了一些额外的设置操作。下图展现了RegRunnerSvc的入口点。在这里,我们可以看到对StartServiceCtrlDispatcher的调用。在示例中,其服务名称为WerFaultSvc,显然是为了使其看上去类似于Windows错误报告服务的合法服务而特意选择的名称。该服务还可以作为恶意软件的持久性机制。在进行服务的功能设置后,恶意软件开始在注册表中查找数据。通常,注册表值的路径将会作为(可能经过加密或混淆后的)字符串,存储到二进制文件中,但有趣的是,这一样本中并没有这样实现。实际上,恶意软件使用RegEnumKeyExA和RegEnumValueA函数遍历注册表项和值。遍历从HKEY_LOCAL_MACHINE开始,并采用深度优先的搜索方式,直至找到数据或结束遍历为止。另外还有一个有趣的实现细节(如下图所示),调用解密函数的唯一要求是数据的大小为0x200(512)字节。这一细节并不像它看起来的那么低效,如果第一阶段的Dropper没有执行其设置操作,那么解密函数就会迅速退出。很明显,对于恶意软件的作者来说,混淆比运行效率更重要。注册表中的数据,包含加密Payload和解密它所需的数据。尽管其包含用于生成密钥的数据,但却不包含解密密钥。该数据自身使用Microsoft CNG库函数(NCrypt*)实现部分加密。第一阶段的Dropper将生成一个解密密钥,并将其存储在一个系统默认密钥存储提供程序中,在这一样本中为“Microsoft Software Key Storage Provider”。如果第一阶段Dropper未运行,那么密钥将不会保存在存储提供程序中,并且解密函数将会退出。如果存储提供程序实际包含密钥,那么会解密数据的第一个0x200(512)字节。该解密数据包含一个标头,其中包含在二进制Blob中定位其余数据所需的信息。标头中偏移量及完整描述如下:0x00 加密数据,用于调用BCryptGenerateSymmetricKey()函数;0x08 加密数据的大小0x10 IV0x18 IV的大小0x20 AES加密数据0x28 加密数据大小现在,我们已经完成对标头的分析,接下来就可以进行第二部分的解密。主要Payload使用AES算法进行加密。首先,注册表中的一大块数据会被传递给BCryptGenerateSymmetricKey函数,随后创建AES解密密钥。在生成密钥并设置解密属性后,将会对Payload进行解密。再之后,对解密的Payload进行校验,以确认它是有效的PE文件。该校验主要检查MZ和PE魔术字节,并检查PE标头中的主机体系结构条目。如果校验通过,就会手动加载文件(导入和重定位),并调用入口点,如下图所示。