歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

惡意軟件ADOBE WORM FAKER:通過LOLBins來“訂制”你的專屬payload

來源:本站整理 作者:佚名 時間:2019-07-01 TAG: 我要投稿

摘要
Cybereason近期發現了一個有趣的惡意軟件樣本,并將之命名為Adobe Worm Faker,它是一類利用LOLBins進行攻擊的蠕蟲病毒,能夠根據運行的機器動態地改變其行為,以便在每臺目標機器上選擇最佳的漏洞利用和payload。這種惡意軟件潛在的破壞性風險特別高,且能夠逃避AV和EDR產品,需要人工檢測才能發現一些端倪。
Adobe Worm Fakerd的主要特點
· Adobe Worm Faker利用LOLBins進行攻擊,并能根據所處的環境進行動態更改。
· 該惡意軟件有五層混淆,無法被AV或EDR在內的安全產品自動解碼,人工干預是解碼它的必要條件。
· 它通過啟動程序(acme .exe或wscript.exe)來保持隱藏以及完成后續的入侵工作。
· 該惡意軟件能針對特定的AV產品,這表明可能存在基于區域的針對性攻擊。
· 它使用類似蠕蟲的技術來傳播和隱藏自己,就好像與安全團隊或用戶玩捉迷藏一樣。
安全建議
1、隔離機器以防止蠕蟲在網絡中傳播。
2、殺死進程:Acroup.exe\ AcroDC.exe\ WScript.exe
3、如果仍駐留在計算機上,刪除以下文件二進制文件:
· %SYSTEMDRIVE%\Adobe Acrobat\Notebook.pdf, AcroDC.exe, AcroUP.exe
· %SYSTEMDRIVE%\Acrobat\Notebook.pdf, AcroDC.exe, AcroUP.exe
· %SYSTEMDRIVE%\DCIM.lnk
· %SYSTEMDRIVE%\Camera.lnk
· %SYSTEMDRIVE%\Users\All Users\Microsoft\Windows\Start Menu\Programs\StartUp
· %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUp.lnk
· %ProgramData%\Microsoft\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUp.lnk
4、刪除以下注冊表項來阻止惡意軟件的持久性:
· HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AcroDC
· HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AcroDC
· HKCU\Software\AcroDC
· HKCU\Software\Itime
· HKCU\Software\info
5、重新創建注冊表字符串值:HKCR\lnkfile\isShortcut
6、將以下域名和IP地址添加到組織FW、代理、Web過濾和郵件過濾的選項中:
· simone.linkpc[.]net
· oahm.duckdns[.]org
· hlem.myq-see[.]com
· 41.105.50[.]134
· 105.98.9[.]222
7、對受感染的移動設備進行格式化
介紹
攻擊者利用Windows操作系統中內置的合法工具進行惡意攻擊的方式已經不是什么新鮮事了。LOLBAS(Living Off The Land Binaries and Scripts)和LOLBins都是本機Windows工具,對它們的惡意使用,使得攻擊更難以通過傳統的安全措施來捕獲,即使發現了也很難阻止。
使用lolbin進行攻擊的優勢在于,如果目標組織不能徹底了解他們的系統及功能,就很可能不會注意這類方式的入侵,相對來說,高級攻擊反而更能引起注意。
最近,一個利用LOLBins的惡意軟件引起了我們的注意——我們將其稱為“Adobe Worm Faker”。感染鏈始于一個zip文件,通過移動設備傳送到用戶的計算機。惡意zip文件包含一個啟動程序(帶有Adobe Acrobat Reader圖標,以誘使用戶信任)和一個惡意腳本。
在使用Adobe Worm Faker進行攻擊時,攻擊者能竊取目標計算機的數據,再根據機器及環境設計更為復雜的攻擊。這種高級攻擊特別危險,因為它專門針對目標機器所特有的弱點進行攻擊,從而大大增加了對組織造成破壞的可能性。
在最近的一個案例中,我們發現Adobe Worm Faker惡意軟件會檢查目標系統是否存在特定的USB相關安全產品。當找到與這些產品相關聯的文件時,惡意軟件會終止其進程并刪除文件,以便它可以繼續暢通無阻地運行。
傳統的安全措施并不總能識別合法Windows工具的惡意/非惡意使用,這里就需要經驗豐富的安全分析師進行人為分析。
利用LOLBins的攻擊事件在增加
今年以來,Cybereason發現惡意濫用本地Windows OS進程的事件呈現急劇增加的態勢,而傳統安全措施對LOLBins攻擊的可見性較為有限,因為攻擊者往往會利用合法的Windows進程,如PowerShell,WMI,BITSAdmin等。這類“盲區”使得攻擊者可以偷偷摸摸地進行操作,在充分了解受感染計算機的特性后發起更有針對性的攻擊。對于一些組織來說,LOLBins攻擊可能是致命的。
攻擊者可以使用LOLBins遠程訪問設備、泄露數據、執行代碼、下載文件、轉儲進程、鍵盤記錄等。然而這只是攻擊的第一階段,接下來的高級攻擊才是專門針對機器弱點進行的,目的是進行橫向移動,竊取客戶信息、財務數據、密碼、知識產權或攻擊者想要的任何東西。
難以找到,難以補救
我們在對惡意樣本分析后了解到,惡意VB代碼是通過wscript實用程序之類的合法工具來執行的,機器信息則是通過WQL (WMI查詢語言)濫用WMI任務來查詢。此樣本還刻意針對了兩個與USB相關的安全產品——SMADAV和USB Disk Security,最終目標是根據受感染的機器的信息以下載payload。這兩個USB安全產品也許能夠反映出惡意軟件所針對的地理區域。
添加額外payload的功能尤其危險。Adobe Worm Faker與多個地址通信,將信息發送給C2服務器,再將payload傳回。
Adobe Worm Faker使用了一種獨特的技術——利用Visual Basic函數完成payload從遠程惡意地址傳遞到目標。Visual Basic是一種安裝在Windows系統中的內置語言,被惡意使用時,它為攻擊者提供了一個關鍵優勢,即它沒有依賴關系,因此惡意代碼可以毫無阻礙地運行。
一旦攻擊者獲得了機器的敏感信息(例如操作系統版本,補丁更新,硬件規格等),就可以創建自定義惡意軟件,為下一次攻擊制定更復雜的攻擊。
ADOBE WORM FAKER的獨特之處
Adobe Worm Faker由兩個組件構成,具有獨特的特性,可與其他惡意軟件區分開來:
· 啟動程序(Acroup \ AcroDC.exe)。
· 惡意偽PDF文件(Notebook.pdf)。
特點:
· Adobe Worm Faker使用了自定義的wscript工具Acroup\AcroDC.exe,類似于Windows的wscript。

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺