一、简介
在过去几天,来自DHL的名为“DHL发货通知”的网络钓鱼活动针对全球用户。
Muncy是SI-LAB对该威胁的称呼。现在,该恶意软件针对全球用户,并通过网络钓鱼活动进行传播。
恶意攻击者正在使用来配置错误的SMTP服务器。电子邮件欺骗技术用于冒充DHL; 一家有名的快递公司; 将发货通知发送到用户的电子邮件收件箱。
用于执行此攻击活动的电子邮件是:<support@dhl[.]com>。
此技术并不新颖,许多在线可用的Web服务器没有正确的安全配置来防止此类攻击。
访问电子邮件的用户需要提取恶意附件。恶意软件是一个.exe文件,用于扫描用户的计算机并收集信息,包括FTP数据。
下面的流程图显示了恶意软件的工作原理。
恶意软件已加壳,首次执行后,将创建并执行新进程(解压缩的恶意软件)。 该进程在用户的C:\驱动器中执行批量扫描,获取敏感信息,发送到由骗子管理的域名sameerd[.]net。
在恶意软件感染生命周期期间,用户设备中未发现持久性。
接收此类电子邮件的用户应该知道他们是社交工程活动的一部分。如果没有任何订单,那么忽略它。
SI-LAB已经通知了DHL公司,但目前并没有公开评论。
有关详细信息,请参阅下文。
二、技术分析
· 威胁名: DHL Original Receipt_PDF.exe
· 原始文件名: Muncy.exe
· MD5: 4df6d097671e0f12b74e8db080b66519
· SHA-1: 568035f0e96b9e065049491004ccee5a4cd180c7
· Imphash: 8a6e3bc29ee49f829483143f1dc39442
在上周,Segurança Informática(SI)实验室确定了旨在通过DHL货运通知安装Muncy恶意软件的感染尝试。恶意电子邮件包含针对诱惑受害者量身定制的通过网络钓鱼活动传播的特定木马。
1.DHL网络钓鱼活动试图冒充DHL
利用错误的SMTP服务器配置,恶意攻击者正在发送冒充DHL的网络钓鱼电子邮件(参见图1)。
图1:电子邮件正文和恶意附件
对恶意电子邮件的初步分析显示,域名(duntonintlsrc.com)用于向目标SMTP服务器day EHL。配置错误的SMTP服务器是传播恶意活动的载体。
图2:电子邮件欺骗和DHL模拟
详细地说,观察到的第一波活动发生在2019年2月12日。这是一个值得记住的重要指标。
电子邮件正文不是纯文本邮件,而是嵌入了PNG图像 ,我们可以观察到电子邮件已从本地路径添加:C:/Users/Administrator/Desktop/DHL.png。
图3: 邮件体
2、Muncy恶意软件 – 最近呈上升趋势
Muncy恶意软件是现在最活跃的特洛伊木马之一。由于其原始名称在可执行文件中硬编码,SI-LAB将其称为Muncy。Muncy恶意软件的各阶段结构如图4所示。
图4:Muncy恶意软件的工作原理
恶意软件已加壳,在分析期间,我们无法脱壳。第一次执行后,它将解压缩到PE File .data部分,该部分在启动时为空。该威胁对所有C:\驱动器执行扫描,试图查找敏感数据和文件(主要是FTP文件),并将发送到由crooks管理的终端(sameerd.net)。
3、深入探究
乍一看,它看起来像一个PDF文件 – 一种欺骗最粗心用户的旧技术。
图5:Muncy添加了一个PDF图标
此威胁得名于其原始文件名Muncy。请注意,英语是骗子检测和使用的主要语言,用于开发此恶意软件。
其他有趣的字符串是CompanyName:Somers2和ProductName:HARPALUS8。
嗯,其实非常有趣。我们来调查一下吧。
· Somers2:没什么好玩的。
· Harpalus:Harpalus luteicornis是一种原产于Palearctic的甲虫。
让我们看下一个可以找到上述信息的图。
图6:原始Muncy
FileVersion也很有趣(1.01.0005) – 这种威胁似乎仍在开发中。
让我们仔细看看吧。该文件具有高熵,并且注意到两个偏移(0x71000和0x7F400)的熵在增加。
图7:Muncy熵偏移
观察熵增加的偏移很有意思。为了证实我们的发现,让我们看一下图8中描绘的熵曲线。
图8:文件熵曲线
重点强调两个有趣的观点:
· .text段熵(7.47):有些是加壳的。
· .data段大小为(零)。该段用于解压缩一些东西。
此外,可执行文件中呈现的数字证书也对.text部分中的高熵有贡献。我们可以很容易的观察到下面显示的文件叠加偏移量。
图9: 可执行的覆盖,数字证书创建日期、名称和组织
另外,我们需要注意以下三点:
· 钓鱼邮件于2月12日收到。
· 证书创建日期为2月11日(前一天)。
· 我们稍后会讨论这一点
4、继续分析Muncy
PE文件有三个段:.text,.data和.rsrc; 其中两个是可疑的。为什么?请注意。
.text段加壳并具有高熵。正常发现没有与高熵相关的数据。例如,加密的代码片段具有高熵关联。
第二个注意:.data段; 它的大小等于零(它是空的),并且虚拟大小(0xbb4)。脱壳后会将恶意软件注入此处。这是一个运行时加壳程序!
图10: 恶意软件熵和可疑段
下图确认大部分二进制数据被加壳(参见熵 – 中间)。
图11: 二进制数据
Muncy恶意软件是在VisualBasic 6.0中开发的,并使用p代码编译,如下所示。
图12: 用于开发Muncy恶意软件的编译器
5、Bonus:为什么恶意软件会使用VB 5.0 / 6.0?
在Visual Basic(VB)脚本上执行分析很难。不幸的是,当Visual Basic被编译为Windows可移植可执行文件(PE)时,它可能成为许多恶意软件分析人员和逆向工程人员的噩梦。
由于编译的许多方面与标准C / C二进制文件不同,Visual Basic二进制文件因使分析人员工作困难而闻名。要分析VB PE二进制文件,需要熟悉VB脚本语法和语义,因为它们的构造将出现在整个二进制文件的反汇编中。VB二进制文件有自己的由Microsoft的VB虚拟机解释(VB 6.0使用msvbvm60.dll)的API。许多API都封装的是其他系统DLL中常用的Win32 API。
逆向VB二进制文件通常涉及针对各种VB API的逆向,这是许多人畏惧的任务。
VB5 / 6可以编译为native或pcode。即使在原生程序中,程序流与入口点不是线性的,而是基于在启动时传递到vb运行时的表单,模块和类结构。
详细地说,恶意软件导入MSVBM60.DLL(Microsoft Visual Basic Machine,如JVM – Java虚拟机)。IAT中存在的另一个重要DLL是shell.dll,它将用于执行多个操作,如打开、创建和删除文件,打开Windows PowerShell等。
图13:恶意软件的IAT
MSVBVM60.DLL中的许多导入函数现在被AV引擎归类为恶意(参见图14)。
图14:恶意软件IAT中被列入黑名单的函数
但请记住,良性软件也可正确使用黑名单里的函数。从这个意义上讲,从图14中提取的信息将是误报。
6、Muncy – 恶意软件反编译
通过分析恶意软件,可以反汇编恶意软件的p代码。 这是解剖这一威胁的正确方法。
我们可以看到在API声明中声明了四个子例程,即从shell32.dll导入的inconforming5,farfel3和ondascop9,从kernel32 DLL导入的子例程waterbed。
图15: 源代码中的API声明
详细地说,恶意软件具有声明了一些对象的表单(passagang)。尽管如此,所有反汇编的代码都没有为我们的分析添加太多细节,因为图15中所示和上面讨论的子例程的源代码未加载(API子例程)。之所以发生这种情况,是因为恶意软件已经加壳并正在规避逆向工程。
图16: 恶意软件反编译
当然,如果程序编译为p代码(本例),则反编译成功率会降低,并且不会记录其他输入。
代码非常难,而且加壳。
图17: 加壳的恶意软件
但是,发现了一些在恶意软件中硬编码的字符串 – 它们用于比较图15中一个加壳API的结果。我们无法获得更多细节,但我们怀疑它们用于执行FTP暴力攻击。
图18: 在恶意软件中硬编码的字符串
我们在恶意软件执行期间执行内存转储。如图所示,发现了其他字符串 – 可能是在开始时隐藏并硬编码在加壳的恶意软件。
图19: 从内存中提取的字符串和检测到的恶意端点
在这里,需要分析一个有趣的观点,发现了crooks管理的端点被(http://sameerd[.]net/grace/panelnew/gate.php)。稍后将对其进行进一步分析。
7、深入Muncy – 动态分析
VB6的一个重要方面与VB6缺少官方文档有关。对于没有深入了解atmsvbvm60.dll的人来说,VB6虚拟机的内部工作原理及其导出函数的功能对于任何人来说都是一个谜。
将恶意软件加载到调试器中,我们可以看到以下内容。
图19: Muncy的入口点
在调用MSVBVM60.ThunRTMain之前,我们正位于可执行文件的第一条指令上,该指令将地址压入堆栈(arg1)。
查看ThunRTMain函数,我们发现它只需要一个参数(地址0x4763BC被推送到堆栈),该参数是指向VBHeader结构的指针,该结构告诉应用程序如何启动。这个VBHeader结构出现在内存中,如图所示(图20):
图20: Muncy VBHeader结构
在这些值中,分配给SubMain(0x00000000)的地址是最重要的,因为它是在设置可执行文件环境后将调用的main函数的地址。
尽管如此,如下面的图20所示,该地址为空。如果SubMain值为0000 0000,那么它是加载形式调用。
图21: Muncy — 原始入口点(OEP)
在恶意软件分析期间,未找到OEP。当恶意软件在调试器内执行时,它会崩溃并触发EXCEPTION_ACCESS_VIOLATION。 因此,调试器对此威胁分析不起作用。
图22: 调试恶意软件时会发生EXCEPTION_ACCESS_VIOLATION
根据文献,如果发生EXCEPTION_ACCESS_VIOLATION(0xC0000005)或EXCEPTION_GUARD_PAGE(0x80000001)异常并且不在内存断点的范围内,则钩子返回未处理事件的状态。 这隐藏了保护页面检测方法中的调试器。
接下来,又使用了几种反VM和反调试技术来解压恶意软件,但它们没有发挥出来作用。
8、继续
回到动态分析,当恶意软件被执行时,它会激活CPU; 事实上,脱壳进程已经启动。
图23: 解压缩恶意软件时CPU峰值
如图4中所示的恶意软件进过程,在恶意软件生命周期中创建了两个进程。
关于脱壳任务的第一个(PID 580)和与恶意软件行为本身有关的第二个(PID 1256)。所有恶意行动都在此处进行。
图24: 恶意软件执行期间创建的两个进程
脱壳后恶意软件所做的事情之一(第二个进程,PID 1256)是在机器中大规模扫描,试图从FTP文件中收集敏感信息。
图25:恶意软件试图从FTP文件收集信息
此外,恶意软件会在Windows Temp文件夹中创建一个临时文件(DFF90D.tmp)。无法从该文件中提取敏感信息。
图26: 恶意软件在Windows临时文件夹中创建文件
此外,还会在临时文件中创建一个.bat文件,然后通过Windows PowerShell(PID 2552)执行该文件。
图27: 恶意软件创建的.bat文件
该文件由恶意软件(父PID = 1256)创建,它接收argv向量中的参数 – 目标文件。该文件已删除。此外,删除恶意软件执行期间创建的所有文件。powershell进程正在运行.bat文件中的代码。
.bat文件删除自身,其他文件名通过argv数组传递。查看文件中的源代码。
:ktk
del %1
if exist %1
goto ktk
del %0
现在监控机器上的所有网络流量,但未连接Internet。
9、下一阶段 —安装目标软件
为获取有关恶意软件的更多详细信息,我们在新计算机上再次运行恶意软件。该机器安装并执行了Firefox浏览器,CutePDF和Filezilla。
在这个阶段,我们发现恶意软件查找一些目标文件夹和文件!
图27: 找到了一些目标文件
此时,在恶意软件执行之后,观察到与特定域名的通信。
恶意软件尝试解析DNS:sameerd.net。
图28: 恶意软件解析域名sameerd.net
事先,我们模拟了一个虚假的互联网,并收到了恶意请求。
图29: P由Muncy恶意软件执行的OST请求
恶意软件试图在端口80上向/grace/panelnew/gate.php发送POST请求。
图30: POST请求的内容
POST内容以二进制编码,无法解码其内容。Wireshark执行的解压缩过程也产生了错误。
为了验证域名是否在端口80上响应,执行telnet连接。如图所示,DNS尚未解析。
[ptavares@ ~]$ telnet sameerd.net 80
telnet: could not resolve sameerd.net/80: Name or service not known
该域名处于脱机状态,但可以在Shodan上获得一些指标,它在2019-02-12进行最后一次更新。
图31: 恶意DNS的可用端口
根据VirusTotal,可以验证此域名与最近几天的三次检测相关 – 正在分析的恶意软件。
该恶意软件于2月12日由SI-LAB首次提交(首次在VT上)。
图32:VT恶意软件检测
如图所示,该域名于2月12日创建。
图33: 域名创建日期
此外,还有其他passive DNS也在2月4日至12日之间创建(文章末尾的完整列表)。
图34: passive DNS
三、总结
Muncy恶意软件显示恶意行为者如何快速改变攻击技术和组件特征。因此,检测其意图非常困难,这使恶意软件分析人员的工作变得更加困难!
如图所示,静态代码分析甚至调试器的使用都变得低效,并且当调试器运行时,恶意软件只是触发了规避分析的错误。
尽管有这些细节,但通过动态分析收集了有关此威胁的指标。一些有趣的行为,例如观察到扫描FTP文件。
IoC
Hashes
· 7eb38ece89e903d298d7cf03b3aec69d
· 4df6d097671e0f12b74e8db080b66519
C2
· http://sameerd.net/group2/panelnew/gate.php
· 157.230.41.249
DNS replication
1. 2019-02-12 sameerd.net
2. 2019-02-12 sameerd.org
3. 2019-02-12 totamnd.com
4. 2019-02-12 sameerd.info
5. 2019-02-12 totamnd.net
6. 2019-02-12 teamdodman.com
7. 2019-02-12 womned.com
8. 2019-02-12 dodmantv.com
9. 2019-02-12 dodmen.com
10. 2019-02-12 yourdodman.com
11. 2019-02-12 sameerd.com
12. 2019-02-12 sameer-d.com
13. 2019-02-12 womned.info
14. 2019-02-12 totamnd.info
15. 2019-02-12 wom-ned.com
16. 2019-02-12 totamnd.co
17. 2019-02-12 womned.org
18. 2019-02-12 totamnd.org
19. 2019-02-11 wromandf.info
20. 2019-02-11 e-moran.com
21. 2019-02-11 wromandf.net
22. 2019-02-11 emorat.live
23. 2019-02-11 wromandf.org
24. 2019-02-11 solutionsofds.com
25. 2019-02-11 emorat.co
26. 2019-02-11 smofds.net
27. 2019-02-11 smofds.org
28. 2019-02-11 emoran.net
29. 2019-02-11 wromandf.live
30. 2019-02-11 emoran.info
31. 2019-02-11 emorat.org
32. 2019-02-11 smofds.info
33. 2019-02-11 wromandfsolutions.com
34. 2019-02-11 emorat.net
35. 2019-02-11 smofds.biz
36. 2019-02-11 emoran.org
37. 2019-02-11 emorats.com
38. 2019-02-09 buydcsaevadfr.com
39. 2019-02-09 thedcsaevadfrgroup.com
40. 2019-02-09 dcsaevadfrrealestate.com
41. 2019-02-09 dcsaevadfr.com
42. 2019-02-09 thedcsaevadfrproject.com
43. 2019-02-09 dcsaevadfrco.com
44. 2019-02-09 dcsaevadfrs.com
45. 2019-02-09 mbvyr-rt.net
46. 2019-02-09 mjnbhgui87ue.net
47. 2019-02-09 mbvyr-rt.com
48. 2019-02-09 mbvyrrtmail.com
49. 2019-02-09 themjnbhgui87uestore.com
50. 2019-02-09 mjnbhgui87ue.com
51. 2019-02-09 mjnbhgui87ues.com
52. 2019-02-09 themjnbhgui87uegroup.com
53. 2019-02-09 a7trhn.com
54. 2019-02-09 themjnbhgui87ue.com
55. 2019-02-09 a7trhnasa.net
56. 2019-02-09 a7trhnasa.com
57. 2019-02-09 vreqvq53.com
58. 2019-02-09 vreqvq53.net
59. 2019-02-09 sfdgaewsrg.net
60. 2019-02-09 sfdgaewsrg.com
61. 2019-02-09 dvsdfes.com
62. 2019-02-09 asdvwae.net
63. 2019-02-09 dvsdfes.net
64. 2019-02-09 dfbhasd.com
65. 2019-02-09 dfbhasd.net
66. 2019-02-09 asdvwae.com
67. 2019-02-07 ydshfgkdsfs.com
68. 2019-02-07 ourydshfgkdsf.com
69. 2019-02-07 theydshfgkdsfgroup.com
70. 2019-02-07 theydshfgkdsf.com
71. 2019-02-07 theydshfgkdsfstore.com
72. 2019-02-04 jacobnpowers.me
73. 2019-02-04 michaelkirbyco.me
Yara 规则
import "pe"
rule Muncy_Trojan_201902 {
meta:
description = "Yara rule for Muncy Trojan - February version"
author = "SI-LAB - https://seguranca-informatica.pt"
last_updated = "2019-02-12"
tlp = "white"
category = "informational"
strings:
$a1 = "DOMICILIATING2"
$a2 = "chokepoint"
$a3 = "kalie"
condition:
all of ($a*) and pe.number_of_sections == 3 and (pe.version_info["OriginalFilename"] contains "Muncy.exe" and pe.version_info["ProductName"] contains "HARPALUS8") or (pe.version_info["OriginalFilename"] contains " NUMA10.exe")
}参见: https://github.com/sirpedrotavares/SI-LAB-Yara_rules
在线沙盒
https://www.virustotal.com/#/domain/sameerd.net
https://www.hybrid-analysis.com/sample/9275a67d256685193901bd62bd5abb5fa51d6442131ca2b0b1fed70e11db293d
https://www.hybrid-analysis.com/sample/9275a67d256685193901bd62bd5abb5fa51d6442131ca2b0b1fed70e11db293d/5c695f997ca3e1467b7358b3
本文翻译自:https://seguranca-informatica.pt/si-lab-the-muncy-malware-is-on-the-rise/#.XGxOdOhKg2w
翻译作者:TRex 原文地址:https://www.4hou.com/web/16396.html
