AveMaria 是一種最早在 2018 年 12 月出現(xiàn)的竊密木馬，攻擊者越來越喜歡使用其進(jìn)行攻擊，運(yùn)營方也一直在持續(xù)更新和升級。在過去六個月中，研究人員觀察到 AveMaria 的傳播手段發(fā)生了許多變化。

2022 年 12 月攻擊行動

研究人員發(fā)現(xiàn)了名為 .Vhd(x)的攻擊行動，攻擊者使用了虛擬硬盤文件格式進(jìn)行載荷投遞。

針對哈薩克斯坦官員的攻擊

攻擊鏈

攻擊者冒充俄羅斯政府的名義發(fā)送會議通知的釣魚郵件，帶有 .vhdx附件文件。

惡意郵件

執(zhí)行附件文件后，會創(chuàng)建一個新的驅(qū)動器。其中包含惡意 LNK 文件、誘餌文件與其他相關(guān)文件，點(diǎn)擊快捷方式后會通過 curl 命令下載其他惡意軟件。最終，Payload 執(zhí)行會使用 AveMaria 來感染失陷主機(jī)。

行為流程

另一例攻擊

攻擊鏈

攻擊者還使用了另一種變體的攻擊鏈，但由于未能獲取到原始的電子郵件，無法準(zhǔn)確推斷如何投遞的載荷。

攻擊鏈中使用的自定義下載器從第三方文件共享網(wǎng)站下載加密文件，在內(nèi)存中下載并解密后執(zhí)行，Payload 具有較好的檢測逃避性。

解密邏輯

攻擊者自定義了類型轉(zhuǎn)換機(jī)制，基于原始數(shù)據(jù)構(gòu)建 PE 文件。

位操作轉(zhuǎn)換機(jī)制

解密文件后會生成沒有導(dǎo)出表的 DLL 文件，資源中的加密數(shù)據(jù)解密后即為 AveMaria 惡意軟件。

解密代碼

2022 年 10 月攻擊行動

攻擊鏈

攻擊者利用高度混淆的 AutoIT 腳本來解密內(nèi)存中的 AveMaria 二進(jìn)制文件，然后執(zhí)行 Payload。AutoIT 腳本被嵌入自執(zhí)行的壓縮文件中，其主要組成部分有：

• Vbscript：執(zhí)行沙盒與殺軟模擬環(huán)境檢查并向解釋器提供 Autoit 腳本
• AutoIT 解釋器：運(yùn)行腳本
• AutoIT 腳本：包含高度混淆的 Payload 解密與惡意軟件執(zhí)行邏輯

本次攻擊行動中，攻擊者邀請收件人為身份不明的投標(biāo)提交有競爭力的報價，附件為惡意 ZIP 壓縮文件。

惡意郵件

文件解壓后會釋放惡意文件與誘餌文件，通過 wscript.exe 調(diào)用 vbscript 惡意腳本。接著調(diào)用解釋器執(zhí)行惡意 AutoIT 腳本，將惡意軟件進(jìn)程注入合法文件中。

整體流程

2022 年 9 月攻擊行動

針對塞爾維亞的攻擊

攻擊鏈

攻擊者假冒塞爾維亞政府，督促收信人更新登錄憑據(jù)來訪問政府門戶網(wǎng)站。

惡意郵件

符合條件的塞爾維亞公民與外國公民都可以注冊電子身份，通過單點(diǎn)登錄訪問所有政府相關(guān)的門戶網(wǎng)站。

合法網(wǎng)站

惡意軟件執(zhí)行時會在 %userprofile%\document處創(chuàng)建自身的副本，還會通過 PowerShell 命令進(jìn)一步逃避 Windows Defender 的檢測。

PowerShell 命令

名為 Adobe5151.exe 的惡意軟件執(zhí)行，就會解密最終的 Payload 竊取敏感信息并建立 C&C 信道。

另一例攻擊

攻擊鏈

攻擊者模仿了常見的采購訂單付款請求，惡意軟件偽裝成假發(fā)-票作為附件發(fā)送。

惡意郵件

釋放的 VBScript 腳本，看起來是 PDF 文件后綴并且?guī)в心_本文件圖標(biāo)。

文件圖標(biāo)

VBScript 腳本也是經(jīng)過混淆的，執(zhí)行時下載并執(zhí)行 PowerShell 腳本。

VBScript 腳本流程

下載的文件都是經(jīng)過 base64 編碼的，解碼后是實(shí)際的惡意載荷。

2022 年 8 月攻擊行動

攻擊鏈

攻擊者針對烏克蘭官員發(fā)起攻擊，冒充烏克蘭經(jīng)濟(jì)政策與戰(zhàn)略規(guī)劃部人士。投遞的惡意郵件攜帶 ISO 附件，其中包含 AveMaria 惡意軟件以及三個誘餌文檔和四個快捷方式文件。

惡意郵件

所有的快捷方式文件都使用相同的 PowerShell 命令，在每個驅(qū)動器中檢索硬編碼的文件名。

LNK 文件

Avemaria 在執(zhí)行時使用硬編碼文件名 images.exe 在 %userprofile%\documents 下創(chuàng)建自身副本，以及在注冊表中進(jìn)行持久化。

持久化

2022 年 7 月攻擊行動

攻擊鏈

攻擊者使用 System Binary Proxy Execution 規(guī)避技術(shù)執(zhí)行 Payload，由于未得到惡意郵件，研究人員推測使用 ISO 文件作為附件進(jìn)行分發(fā)。ISO 文件中的 LNK 文件包含 PowerShell 命令與運(yùn)行時解密的混淆代碼。執(zhí)行 LNK 文件會下載惡意的 HTA 文件，再通過 mshta.exe 來執(zhí)行。

快捷方式文件

HTA 文件由 標(biāo)簽下的 VBScript 代碼組成，在執(zhí)行時生成混淆的第三階段 PowerShell 代碼。

混淆 PowerShell 代碼

PowerShell 代碼去混淆后，主要包括執(zhí)行、解碼與下載的功能。

去混淆后代碼

總結(jié)

AveMaria 的運(yùn)營方一直在積極地維護(hù)惡意軟件更新，并且利用各種技術(shù)保證惡意軟件的檢測逃避能力。