Netwire恶意软件将攻击目标对准意大利｜病毒样本分析

ZLab恶意软件研究人员分析了使用Netwire恶意软件感染说意大利语的受害者的攻击链。

介绍

信息窃取者恶意软件证实是 络参与者最广泛采用的武器之一。

其中之一就是Netwire（MITRE S0198），这是一种多平台远程管理工具（RAT），至少从2012年开始就被犯罪分子和间谍团体使用。在我们的 络威胁情 监视期间，我们发现了一个特定的Office文档，该文档被装备以提供这种恶意工具，并发现了一个旨在针对讲意大利语的受害者的隐藏恶意活动。我们发现的特定攻击链显示了有趣的技术模式，类似于针对意大利制造业格局的其他先前活动，因此，我们决定更深入地研究。

技术分析

此活动中使用的变体与NetWire恶意软件家族的其他示例类似，但具有攻击链的演变。下图 告了此活动中使用的NetWire感染链：

图1：感染链

意大利感染管道

该NetWire活动是作为带有嵌入的XML宏的恶意电子邮件附件提供的。以下是滴管的静态信息：

表1：有关样本的静态信息

打开后，Excel文档看起来像是带有一些动态元素的文档，但是没有一些可单击的按钮。在那里，经典的安全通知告知我们宏包含在文档中并且被禁用。

图2：恶意文档概述

文档中包含的宏非常小，并且不包含无效代码或其他反分析技术，这是随机查找变量命名的一部分。

图3：提取的宏

VBS宏代码段与“ cloudservices-archive。] best”域联系，以便下载隐藏在名为图片文件的文件中的下一阶段有效负载，但它不是图片，也不是可执行文件：它实际上是XSL样式表，其中包含能够加载另一个ActiveX对象的Javascript。

图4：一段JS代码

该powershell命令的混淆很容易解码，结果如下：

代码段1

此时，恶意软件尝试从先前位置下载其他“ fiber.vbs”文件，这是一个小代码段，通过多个嵌套替换隐藏了powershell调用。

图5：下载的VBS脚本片段

实际上，这次代码被严重混淆，并且包含许多字符串操作子例程，但是，一旦重构了结果字符串，上述powershell引用就会变得更加清晰。

图6：去模糊的Powershell负载的一部分

它实际上包含另一个Powershell阶段，旨在了解执行环境并触发另一个阶段的执行。

在这种情况下，恶意软件会从先前阶段的同一域下载“ image01.jpg”文件。如果下载成功，则恶意软件会从下载的文件中读取原始字节，并将其转换为可以执行Powershell代码的位置。在这里，两个动态链接的库被解压缩并准备好加载到内存中：一个用于AMSI旁路，而其他则是最终的有效负载。

该脚本还配置了一种持久性机制，将其自身复制到目录“％APPDATA％ Local Microsoft”内，并在“HKCU Software Microsoft Windows CurrentVersion Run”上设置注册表项。

图7：对命令进行混淆处理以准备持久性机制

图8：持久性机制的证据

黑客工具1：修补AmsiScanBuffer

以前的Powershell片段中嵌入的两个DLL中的第一个实际上是用作绕过Microsoft的AntiMalware扫描接口AMSI的工具。特别是，在加载后，此DLL在感染链中运行的第一种方法是“ [oioioi] :: fdsfdf（）”。

图9：修补AmsiScanBuffer技术的证据

上图显示了该技巧的完成方式：从“程序集标题”字段中检索引用目标方法进行修补以避免在运行时检测到有效负载所需的两个组件“ amsi.dll”和“ AmsiScanBufer”。

黑客工具2：注入器

实际上，第二个DLL并不是最终的有效负载。而是另一个实用程序：进程注入实用程序，用于将恶意软件植入程序隐藏到其他进程内存中。

图10：反编译进样器模块的证据

如代码片段4所示，变量“ $ MNB”在调用“ CASTLE”类中的静态方法“ CRASH”时作为参数传递。另一个参数是进行注入的目标过程。该.NET编译的可执行文件包含对攻击者使用的注入方法的许多引用。其中的一部分如下：

图11：代码内注入调用的证据

Payload

最终有效负载存储在最后一个powershell阶段捕获的$ MNB2变量中。

表2：有关Netwire有效负载的静态信息

在分析二进制结构时，我们恢复了已配置命令和控制服务器的硬编码IP地址：185.140.53。] 48。一位由匿名服务提供商运营的比利时主机，被此行为者滥用。Netwire可执行文件使用自解密例程运行其特洛伊木马模块，它分配一个新的内存区域，然后解密干净代码，如下图所示。

图12：自解密例程

解密后，恶意软件会将其漫游器信息保存到注册表项“ HKCU Software Netwire”中。此时，很容易发现表征Netwire RAT变体的恶意功能。综上所述，Netwire RAT使其操作员能够从受害者机器获取敏感信息，例如：

窃取Outlook凭据；

窃取Internet Explorer浏览器历史记录；

窃取Chrome浏览器历史记录；

窃取Mozilla浏览器历史记录；

记录击键。

然后，将通过该恶意软件获取的所有敏感数据发送到攻击者的命令和控制服务器，从而可能导致欺诈行为和进一步的 络危害。

图13：设置注册表项的轨迹

图14：完整的注册表项

相似与模式

在此分析中，我们描述了一种旨在诱骗意大利受害者的攻击，并通过进行严格的代码操纵来避免检测到这种所谓的“商品恶意软件”。

但是，这种特殊的操作和混淆模式对我们来说并不新鲜。实际上，尤其是在处理Powershell阶段时，我们注意到一些变量和名称结构与我们最近关于意大利制造业发起的Aggah运动的最新 告之一非常相似。

尽管有变量名，但有效载荷的解码功能是相同的。另外，变量名“ $ MNB”和“ blindB”已保存。潜在地，这也可能意味着这些技术的一部分已被其他坚持意大利景观的演员重复使用，或者Aggah演员正在探索不同的感染链。

图15：Netwire活动和Aggah活动之间的相似之处

结论

在过去的几年中，Netwire RAT获得了很多成功， 络参与者也采用了它来感染受害者，甚至包括APT33（精制小猫）和Gorgon Group这样的政府资助团体也将其纳入了他们的武器库，让我们想起了即使是所谓的商品恶意软件也可以代表着严重的威胁，尤其是当由经验丰富的攻击者进行管理时，能够将其重新打包以逃避检测，并利用合并的操作做法来加速 络攻击。

我们观察到的特定运动显示出清楚的元素，表明攻击的目标是意大利语。它还显示了与最近针对意大利制造业的运营中采用的技术有趣的相似之处，即使未经证实，也表明仍可能进行低足迹的运营。此处发布的 告中提供了其他详细信息，包括危害指标（IoC）和Yara规则：