[[357063]]

早在11月23日，研究人員就收到了一位合作伙伴發(fā)出的關(guān)于德國Gootkit攻擊復(fù)發(fā)的警報。 Gootkit是一個功能強大的銀行木馬，自2014年起就存在了，并且具有許多功能，例如旨在竊取與財務(wù)相關(guān)的信息的按鍵或視頻記錄。

在最新的活動中，攻擊者通過使用誘餌論壇模板來誘騙用戶下載惡意文件，從而依靠受到攻擊的網(wǎng)站對用戶進行社交工程。

在分析復(fù)雜的惡意軟件加載程序時，研究人員找到了一個令人驚訝的發(fā)現(xiàn)。受害者會收到Gootkit本身，或者在某些情況下會收到REvil(Sodinokibi)勒索軟件。在對犯罪基礎(chǔ)設(shè)施進行檢查之后，決定是否提供一個有效載荷。

在德國觀察到的Gootkit攻擊樣本

安全研究人員TheAnalyst于11月首次公開使用復(fù)雜的加載程序公開識別一個活躍的Gootkit攻擊樣本，該加載程序最終將幕后的主使者指向了Gootkit，此前Gootkit已經(jīng)沉寂了好長一段時間了。德國的計算機緊急響應(yīng)小組DFN-CERT后來證實，受到攻擊的網(wǎng)站已成為此次攻擊的目標。

大約在同一時間，研究人員開始從一些合作伙伴及其ISP收到有關(guān)Gootkit相關(guān)流量的報告。研究人員能夠在遙測范圍內(nèi)確認所有位于德國的Gootkit檢測。

德國的Gootkit攻擊情況

幾天后，研究人員修復(fù)了600多臺遭到破壞的計算機。

網(wǎng)站上的虛假論壇模板

初始加載程序通過被黑客攻擊的網(wǎng)站傳播，使用一種有趣的搜索引擎優(yōu)化(SEO)技術(shù)定制虛假模板，試圖欺騙用戶下載文件。

該模板模仿一個論壇主題，在該主題中，用戶以德語詢問有關(guān)特定主題的幫助，并收到一個答案，該答案似乎正是他們所尋找的。值得注意的是，托管此模板的被黑網(wǎng)站不是德語(只有模板);它們只是很容易受到攻擊，并被用作攻擊基礎(chǔ)設(shè)施的一部分。

受攻擊網(wǎng)站會加載誘餌模板來欺騙受害者

如果正確的受害者瀏覽了受攻擊的網(wǎng)站，則攻擊者會有條件地動態(tài)創(chuàng)建此虛假的論壇帖子。腳本從DOM中刪除合法的網(wǎng)頁內(nèi)容，并添加自己的內(nèi)容(該模板顯示指向要下載的文件的鏈接)。

誘餌模板后面的HTML代碼視圖

每次訪問頁面之前，都要進行服務(wù)器端檢查，以確定是否已經(jīng)向用戶提供了假模板，在這種情況下，Web服務(wù)器將返回合法內(nèi)容。

無文件執(zhí)行和模塊安裝

一旦受害者執(zhí)行了他們剛剛下載的zip存檔中的惡意腳本，攻擊過程就開始了。

嚴重模糊處理的惡意腳本

此腳本是導(dǎo)致執(zhí)行最終有效載荷的幾個階段中的第一個階段。下圖就是一個綜述：

攻擊流程

階段1：第一個JavaScript

第一個JavaScript模塊必須由受害者手動執(zhí)行的，為了隱藏其真實意圖，它被模糊處理了。模糊處理由三層組成，上一層解碼下一層的內(nèi)容。

第一階段就是對下一個元素進行解碼：

第一階段腳本

解碼后的輸出是一個逗號分隔的JavaScript塊數(shù)組：

用逗號分隔的腳本數(shù)組

數(shù)組中有四個元素由它們的索引引用，例如，索引為0的元素表示“構(gòu)造函數(shù)”，1是另一個JavaScript代碼塊，2是空的，3是導(dǎo)致調(diào)用提供代碼的包裝器。

塊1負責(zé)讀取/寫入“HKEY_CURRENT_USER\SOFTWARE\

 

第三層JavaScript

此代碼段負責(zé)連接到C2，它從列表中獲取域，并逐個嘗試它們。如果得到響應(yīng)，它將繼續(xù)運行。

上面的下載器腳本是加載過程的第一階段，在功能方面，它在所有被刪除的文件中幾乎是相同的。變體之間的區(qū)別將從下一部分開始，下一部分是從C2服務(wù)器獲取的另一個JavaScript。

階段2：第二個JavaScript(從C2下載)

服務(wù)器的預(yù)期響應(yīng)是一個十進制字符串，其中包含用于驗證的偽隨機標記，需要在進一步處理之前將其移除，標記由 “@[request argument]@”組成。

使用C2服務(wù)器的GET請求

轉(zhuǎn)換為ASCII后，將顯示下一個JavaScript，并執(zhí)行代碼。該JavaScript帶有嵌入式PE有效載荷，該載荷可能是Gootkit的加載程序，也可能是REvil勒索軟件的加載程序。用于去模糊化的算法也存在一些差異。

Gootkit變體示例

下載的JavaScript

下載的代碼塊負責(zé)安裝持久性攻擊元素，它還運行一個Powershell腳本，該腳本讀取存儲，對其進行解碼并進一步運行。

階段3：存儲的有效載荷和解碼Powershell

開發(fā)者還多樣化了編碼和存儲有效載荷的方法，在研究人員的測試中，他們觀察到了兩種編碼方式。在其中一種格式中，PE存儲為Base64編碼的字符串，而在另一種格式中存儲為十六進制字符串，通過用模式替換特定的數(shù)字來模糊處理。

有效載荷通常存儲為注冊表項列表，但是研究人員還觀察到了一種變體，其中類似的內(nèi)容被寫入TXT文件中。

存儲在文件中的有效載荷示例： 

有效載荷作為磁盤上的文件

該文件的內(nèi)容是一個模糊處理的Powershell腳本，該腳本運行另一個Base64模糊處理的層，該層最終對.NET有效內(nèi)容進行解碼。

用于對文件進行模糊處理的Powershell腳本示例：

"C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -windowstyle hidden -Command "IEX (([System.IO.File]::ReadAllText('C:\Users\[username]\bkquwxd.txt')).Replace('~',''));" 

下面研究人員將研究加載程序的兩個示例：一個導(dǎo)致執(zhí)行REvil勒索軟件，另一個導(dǎo)致執(zhí)行Gootkit。

示例1：加載REvil勒索軟件

下面的示例顯示了將PE文件編碼為模糊處理的十六進制字符串的變體，在分析的案例中，整個流程導(dǎo)致了REvil勒索軟件的執(zhí)行。

執(zhí)行第二階段JavaScript將導(dǎo)致有效載荷以密鑰列表的形式寫入注冊表。內(nèi)容被編碼為十六進制，并略微模糊處理。

存儲在注冊表中的有效載荷片段，編碼為使用模式模糊處理的十六進制字符串

編寫密鑰后，JavaScript會部署一個PowerShell命令，該命令負責(zé)解碼和運行存儲的內(nèi)容。

JS組件使用Base64編碼腳本部署PowerShell

腳本的解碼內(nèi)容：

解碼后的內(nèi)容

它從注冊表項中讀取內(nèi)容，并通過替換模式來對其進行模糊處理。在給定的示例中，將十六進制字符串中的模式 “!@#” 替換為“1000”，然后在.NET Reflection的幫助下對PE進行解碼和加載。

下一階段的PE文件(.NET)：

REvil加載程序：(0e451125eaebac5760c2f3f24cc8112345013597fb6d1b7b1c167001b17d3f9f)

.NET加載程序帶有一個硬編碼的字符串，該字符串是下一階段的PE：最終的惡意載荷。 PowerShell腳本調(diào)用的Setup函數(shù)負責(zé)解碼和運行下一個PE：

硬編碼字符串(PE)

部署有效載荷

加載程序借助Process Hollowing法(PE注入的經(jīng)典方法之一)進入下一階段。

REvil贖金記錄

示例2：加載Gootkit

在另一個常見變體中，有效載荷另存為Base64。注冊表項以以下格式組成一個PowerShell腳本：

$Command =[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String("[content]")); Invoke-Expression $Command;Start-Sleep -s 22222; 

 

存儲有效載荷的注冊表項

解碼base64編碼的內(nèi)容后，研究人員得到另一個PowerShell腳本：

更多的PowerShell

它還附帶了另一個base64編碼的片段，該片段在Reflection Assembly的幫助下進一步解壓縮和加載。它是.NET二進制文件，與上一個類似。

Gootkit加載程序：(973d0318f9d9aec575db054ac9a99d96ff34121473165b10dfba60552a8beed4)

該腳本從.NET模塊調(diào)用函數(shù)“Install1”。此函數(shù)加載另一個PE，該PE作為base64編碼的緩沖區(qū)嵌入其中：

另一個緩沖區(qū)

部署有效載荷

這次，加載程序使用另一種PE注入方法，即手動加載到父進程中。

顯示的有效載荷是Gootkit的第一階段二進制文件：60aef1b657e6c701f88fc1af6f56f93727a8f4af2d1001ddfa23e016258e333f。該PE用Delphi編寫。在其資源中，研究人員可以找到另一個PE(327916a876fa7541f8a1aad3c2270c2aec913bc8898273d545dc37a85ef7307f)，該文件已通過XOR進行了單字節(jié)模糊處理，它被第一個文件進一步加載。

總結(jié)

此活動背后的攻擊者使用了非常聰明的加載程序，就像是俄羅斯套娃一樣。該加載程序執(zhí)行了許多步驟來逃避檢測。鑒于有效載荷是使用隨機命名的密鑰存儲在注冊表中的，因此許多安全產(chǎn)品將無法檢測到并刪除它。

但是，在某些情況下該加載程序會負責(zé)下載REvil勒索軟件。研究人員曾經(jīng)能夠在實驗室中重現(xiàn)此流程，但大多數(shù)時候研究人員都發(fā)現(xiàn)的是Gootkit。

REvil組織對新成員有非常嚴格的規(guī)定，他們必須通過測試并必須為俄羅斯人。在研究人員收集到的REvil樣本中，他們注意到的一件事是，贖金記錄仍指向cryptoror.top而不是cryptoror.cc，這表明這可能是一個較舊的樣本。

銀行木馬是一種與勒索軟件截然不同的商業(yè)模式。勒索軟件在過去幾年中蓬勃發(fā)展，部分得益于知名受害者的巨額贖金。研究人員已經(jīng)看到，銀行惡意軟件(即Emotet)變成了勒索軟件的加載程序，在這些加載程序中，不同的攻擊者可以專門研究其最擅長的領(lǐng)域。時間會告訴我們Gootkit的回歸到底意味著什么，以及它將如何發(fā)展。

檢測與保護

Malwarebytes通過不同的保護層來防止、檢測和刪除Gootkit和REvil。當(dāng)研究人員收集到了攻擊指標后，就能夠阻止傳播網(wǎng)站，使用戶不下載初始加載程序。

當(dāng)JavaScript通過WinRar或7-Zip等壓縮文件應(yīng)用打開時，研究人員基于行為的反利用層也可以阻止惡意加載程序，而不會產(chǎn)生任何簽名。

阻止腳本執(zhí)行

如果系統(tǒng)已經(jīng)攻擊了Gootkit，Malwarebytes可以通過清理Gootkit隱藏的注冊表項來補救：

檢測隱藏在注冊表中的有效載荷

最后，研究人員還會檢測并終止REvil(Sodinokibi)勒索軟件：

REvil勒索軟件被阻止

攻擊指標

本文翻譯自：https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/如若轉(zhuǎn)載，請注明原文地址。