- A+
样本分析
· 5ffefc13a49c138ac1d454176d5a19fd – EK释放的下载器
· b508908cc44a54a841ede7214d34aff3 –恶意安装器(MinerBlocker)
· e5ba5f821da68331b875671b4b946b56 –注入python的主DLL
· 596dc36cd6eabd8861a6362b6b55011a – injecteex64 (注入浏览器的DLL,64位)
· 645176c6d02bdb8a18d2a6a445dd1ac3 – injecteex86 (注入浏览器的DLL,64位)
传播方法
上面描述的样本是RIG利用套件释放的:
行为分析
安装
利用套件释放的主执行文件是一个下载器。这个下载器非常简单,并且没有混淆。可以看到资源中的脚本:
作用是取出第二个安装器,其中第二个安装器中含有所有的恶意python脚本。第二个部分就是MinerBlocker。
如果下载的组件单机运行,那么行为就是一个正常的、合法的安装器。而且会看到下面的信息:
这看起来像一个拦截恶意挖矿机的合法应用。但是研究人员没有找到类似产品相关的网站。
当原来的下载器以原来的组件运行,安装过程就是全静默的。并且会在%APPDATA%文件夹中释放包。
组件
释放的应用含有多个元素,可以看到运行释放脚本所需要的python的完全安装。一起安装的还含有卸载软件uninstall.exe,一旦应用就会完全移除该包。
在js目录中,可以看到一个JS脚本文件i.js:
在configs中,有两个配置文件:rules.ini和settings.ini。
2)可能被攻击的浏览器进程列表:
3)IP和域名的白名单集。域名是base64编码的,解码后可以看到不同的俄罗斯银行站点。结果确认,这些站点都没有被感染。
通过在注册表中运行key来达到驻留的目的。
ml.py脚本运行后,就会使用另一个python组件,httpfilter.py和.ini文件:
将该脚本与js目录中的脚本对比:
恶意软件会伪造证书并执行MIMB攻击。站点的HTTPS合法证书被一个“The Filter”签发的假的证书所取代,而The Filter是一个恶意实体:
PE header定义片段:
并且会手动加载PE文件,加载器开头:
重定向执行到入口点。然后可以找到解混淆的加载器。
注:用python写的PE注入器是很少见的。
注入器(DLL)
注入python的DLL是恶意软件的主要组件。该组件会被注入到Python可执行文件当中:
注入器会从配置文件中取回传递的参数。可以看到这并不是之前脚本传递的参数。
开发者预留了一些调试字符串,这就让执行流很容易明白。
injectee是植入到浏览器中的,并且负责hook对应的DLL。下面是hooking函数的开始:
hooking函数是这事件的标准类型。负责接收特定输出函数的地址,然后重写重定向到含有恶意DLL的函数的开头。
目标是分割证书的函数(Crypt32.dll)和发送接收数据的函数(ws32_dll):
通过PE-sieve可以dump hook,就可以看到这些函数如何被重定向到恶意软件。下面是从DLL中收集的标签列表:
From Crypt32:
From ws32_dll:
从上面可以看出,地址都被重定向到injectee DLL,DLL是在base 50000被加载的。比如,函数WSASend被监听,执行的过程被重定向到injectee dll中RVA 0xd90处的函数。
监听函数的开始:
