Black Lotus安全研究人員近期發(fā)現(xiàn)多個Python語言編寫的惡意文件，并編譯為 Debian 操作系統(tǒng)的Linux二進制文件格式ELF。這些文件會以加載器運行payload，payload要么嵌入在樣本中或從遠程服務(wù)器中提取，然后使用Windows API調(diào)用注入到運行的進程中。

[[426607]]

簡介

2021年8月，Black Lotus研究人員發(fā)現(xiàn)了大量為Debian Linux編譯的可疑ELF文件。文件是用Python 3編寫的，然后用PyInstaller轉(zhuǎn)變?yōu)镋LF可執(zhí)行文件。Python代碼作為使用不同Windows API的加載器，Windows API可疑提取遠程文件，然后注入運行的進程。從 VirusTotal 的檢測率來看，大多數(shù)為Windows系統(tǒng)設(shè)計的終端代理無法有效分析ELF簽名。在調(diào)查中，研究人員發(fā)現(xiàn)了2個ELF加載器方法的變種：第一個是用Python編寫的，第二個表中使用ctype來調(diào)用不同的Windows API和調(diào)用powershell腳本。研究人員分析認為該PowerShell變種仍在開發(fā)中。

技術(shù)細節(jié)

從2021年5月到2021年8月這3個月內(nèi)，研究人員發(fā)現(xiàn)樣本的進化過程，從最初的Python 3編寫的樣本到使用ctype來調(diào)用Windows API，再到使用PowerShell來宿主機器上執(zhí)行隨后的動作。

Python變種

使用Python編寫的變種并不使用任何Windows API。其中一個特征是加載器使用變種的Python庫，使得其可以在Linux和Windows機器上運行。研究人員分析樣本發(fā)現(xiàn)腳本會打印“Пивет Саня”，打印的內(nèi)容是俄語文字翻譯過來就是“Hello Sanya”。所有的相關(guān)的文件都含有隱私或者非路由的IP地址，除了一個樣本。該樣本中含有公共IP地址185.63.90[.]137和一個Python編寫的加載器文件，這些文件隨后會被轉(zhuǎn)化為可執(zhí)行文件。該文件首先嘗試從機器分配內(nèi)容，然后創(chuàng)建一個新的進程，并注入位于hxxp://185.63.90[.]137:1338/stagers/l5l.py的遠程服務(wù)器的資源。目前，該服務(wù)器已經(jīng)無法訪問，表明該地址是用于測試或之前的攻擊活動。

研究人員發(fā)現(xiàn)許多惡意活動都與同一IP地址185.63.90[.]137進行通信，樣本中都含有Meterpreter payload，其中部分使用Shikata Ga Nai編碼器混淆。

使用PowerShell和Ctype的WSL變種

不同文件的ELF到Windows二進制文件執(zhí)行路徑是不同的。在部分樣本中，PowerShell 用于注入和執(zhí)行shellcode，在其他樣本中，Python ctype被用來解析Windows API。

在其中一個PowerShell樣本中，編譯的Python會調(diào)用3個函數(shù)： kill_av()、reverseshell() 和 windowspersistance()。

圖1: 反編譯的decompiled kill_av和windowspersistence函數(shù)

kill_av()函數(shù)會使用 os.popen()嘗試kill調(diào)可疑的反病毒產(chǎn)品和分析攻擊。 reverseshell() 函數(shù)使用子進程每20秒性一個base64編碼的PowerShell 腳本，攔截其他函數(shù)的執(zhí)行。windowspersistence() 函數(shù)會復(fù)制原始ELF文件到appdata 文件夾，命名為payload.exe并使用子進程來加入注冊表以實現(xiàn)駐留。在上圖中，windowspersistance()會用字符串“TIME TO Presist”被調(diào)用。

圖2: reverseshell 和 kill_av函數(shù)

解碼的PowerShell使用GetDelegateForFunctionPointer來調(diào)用VirtualAlloc，復(fù)制MSFVenom payload到分配的內(nèi)存，并使用GetDelegateForFuctionPointer來在分配的含有payload的內(nèi)存中調(diào)用CreateThread 。

圖3:注入和調(diào)用MSFVenom payload的PowerShell腳本

另一個使用樣本使用Python ctype來解析Windows API來注入和調(diào)用payload。在分析過程中，研究人員發(fā)現(xiàn)一些小的不連續(xù)，比如變量類型。研究人員猜測代碼仍在開發(fā)中，但可能即將結(jié)束。

圖4: 使用Python ctypes的分混淆的代碼

本文翻譯自：

https://blog.lumen.com/no-longer-just-theory-black-lotus-labs-uncovers-linux-executables-deployed-as-stealth-windows-loaders/