微软披露加密劫持恶意软件Dexphot,已感染近80000台设备
来源:岁月联盟
时间:2020-01-29
监视组件还可以检测新启动的cmd.exe进程并立即将其终止。作为最终的故障保护,Dexphot使用schtasks.exe创建计划任务,命令如下所示:
这种持久性技术很有趣,因为它采用了两种截然不同的MITER ATT&CK技术:计划任务和签名二进制代理执行。
计划任务将msiexec.exe作为代理运行恶意代码,就像在安装过程中使用msiexec.exe一样。使用合法系统进程msiexec.exe可能会更难跟踪恶意活动的来源。
此外,这些任务使Dexphot可以在每次任务运行时方便地从Web端更新payload,它们会在系统重新启动时以及系统运行时每90或110分钟自动更新Dexphot的所有组件。
Dexphot还会在运行时生成任务的名称,这意味着简单的硬编码任务名称阻止列表将无法有效阻止它们运行。名称通常采用GUID格式,就在微软发布了第一轮Dexphot威胁保护后,创作者开始转为使用随机字符串。
另外,对于计划任务,创作者还使用了另一种逃避技术:某些Dexphot变体将msiexec.exe复制到任意位置,并为其指定一个随机名称,如%AppData%/.exe。这使得运行恶意代码的系统进程成为移动目标。
多样性
Dexphot在其分布的二进制文件中展示了多层多样性。例如活动中使用的MSI包,包含的文件如下表所示,如上所述,MSI包通常包含一个干净的解压版本、一个有密码的ZIP文件和一个用于检查防病毒产品的批处理文件。但批处理文件并不总是存在,ZIP文件名称、加载程序 DLL的名称,以及解压ZIP文件的密码也充斥着变化。
另外,每个加载程序DLL的内容因软件包而异,ZIP文件中包含的加密数据也有所不同。每次攻击者将文件捆绑在一起时,都会生成不同的ZIP存档,进而生成唯一的MSI软件包。由于这些精心设计的变化,传统的基于文件的检测方法对Dexphot无效。
大量主机托管payload
除了跟踪Dexphot用于执行攻击的文件和进程之外,我们还一直在监视用于托管恶意有效负载的域。用于托管的域名地址通常以.info或.net TLD结尾,而实际有效负载文件名则由随机字符组成,类似于先前所看到的用于生成文件名和计划任务的随机性。下表列出了我们研究的一些例子。
列出的许多链接都被使用过很长时间了,但每个URL上托管的MSI软件包都经常被更改或更新,域的数量也是在不断补充更新。经过几个月的监视,我们能够识别大约200个唯一的Dexphot域。
结论:动态、全面的防御措施,可以应对日益复杂的日常威胁
Dexphot不是那种能引起主流媒体关注的攻击类型,它只是在任何特定时间都处于活动状态的无数恶意软件其中之一。它的目标也非常普遍——悄无声息安装一个窃取计算机资源并为攻击者创造收入的加密货币挖矿机,但Dexphot的出现也证明了这种日常普遍的威胁正变得越来越复杂,发展速度也越来越快。
为了抵御威胁,Microsoft Defender Advanced Threat Protection的防病毒组件中的下一代保护引擎会在攻击链上的多个位置检测并阻止恶意技术。对于Dexphot,云中基于机器学习的检测可以识别并阻止rundll32.exe加载的DLL,从而在早期阶段停止攻击链。内存扫描可检测并终止由process hollowing隐藏的恶意代码的加载,包括尝试通过PowerShell命令更新恶意软件代码并重新感染计算机的监视进程。
行为阻止和遏制功能在克服Dexphot的无文件技术,逃避检测和持久性机制(包括定期和启动时尝试通过计划任务更新恶意软件)方面特别有效。如前所述,考虑到攻击链和Dexphot持久性方法的复杂性,我们发布了一种补救解决方案,该解决方案可通过消除工件来防止再次感染。
行为阻止和功能遏制在击败Dexphot的无文件技术、检测规避和持久性机制方面尤其有效,包括通过计划的任务定期和引导时尝试更新恶意软件。如前所述,考虑到攻击链和Dexphot的持久性方法的复杂性,我们发布了一个修复解决方案,通过删除某些不见来防止二次感染。
IoC
安装程序(SHA-256):
72acaf9ff8a43c68416884a3fff3b23e749b4bb8fb39e16f9976643360ed391f
MSI文件 (SHA-256):
22beffb61cbdc2e0c3eefaf068b498b63a193b239500dab25d03790c467379e3
65eac7f9b67ff69cefed288f563b4d77917c94c410c6c6c4e4390db66305ca2a
ba9467e0d63ba65bf10650a3c8d36cd292b3f846983032a44a835e5966bc7e88
加载程序DLLs (SHA-256):
537d7fe3b426827e40bbdd1d127ddb59effe1e9b3c160804df8922f92e0b366e
504cc403e0b83233f8d20c0c86b0611facc040b868964b4afbda3214a2c8e1c5
aa5c56fe01af091f07c56ac7cbd240948ea6482b6146e0d3848d450977dff152
上一页 [1] [2]