NeedleDropper – Avast

旋风加速 NPV 创新研究中心

自2022年10月以来,我们观察到多种恶意软件类型是通过一种新的载体变种传送的,我们称之为「NeedleDropper」。这个名称来源于该载体存储数据的方式之一。NeedleDropper不仅仅是一个可执行文件,它携带多个文件,这些文件共同创建一个恶意执行过程,提取文件以解密并注入恶意代码。这种恶意软件试图隐藏自己,通过生成许多未使用的无效文件,并将重要数据存储在几
MB 无关紧要的数据之间,还利用合法应用程序来执行其操作。NeedleDropper似乎是一种新的恶意软件变种,采用以「服务」形式的商业模式,并在黑客论坛上出售给威胁行为者,以隐藏最终有效载荷。迄今为止,我们已经阻止了超过30,000次对
Avast 和 AVG 客户的攻击尝试。

分析

NeedleDropper 是一个自解压缩档案,包含一个修改版的 AutoIt 解释器、模糊化的 AutoIt 脚本和用于初始执行的 VisualBasic脚本。所有这些都与其他几个文件捆绑在一起,其中一些是恶意软件执行所需的(稍后会描述)。所有文件都会被提取到当前用户的临时目录中新创建的目录中。新创建的目录名称通常遵循相同的模式。下面的片段显示了
SFX 命令(第4、8、12、16行)隐藏在未使用的文本中,无效的命令字串将被忽略,仅执行有效命令。

NeedleDropper SFX 脚本片段

文件

在本节中,我们将描述自解压缩档案中的关键文件、它们的用途及其内容。所有文件都有唯一的随机生成的名称,大多数文件也有随机化的扩展名。

Visual Basic 脚本

初始的 VBS 脚本包含多行评论,试图在有效载荷中隐藏。 我们见过几个样本,里面嵌套了几 MB 的评论。这个脚本启动一个带有 LXA 文件作为参数的修改版
AutoIt 解释器。

初始 Visual Basic 有效载荷的片段

配置文件

配置文件是一个 INI 文件,包含几个键值对和多行未使用的行,试图隐藏任何配置值。这些值通常出现在 S3tt!ng 区段中。


NeedleDropper SFX 脚本的片段

常用键值对及其用途:

  • K3ysX – 最终有效载荷的解密密钥
  • Dir3ctory – 在「stpth」变数内创建的工作文件夹
  • AuEx – 模糊化的 AutoIt 脚本
  • ExE_c – AutoIt 解释器
  • RP – 加密的有效载荷
  • Delay – 执行开始前的延迟
  • Antis – 启用反分析技术,例如搜索可能表明虚拟机/沙盒的进程(VMwaretray.exeVboxService.exeVBoxTray.exe 等)
  • StartUps – 若不为空,恶意软件将根据当前用户的权限在 \SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册表项下注册 NeedleDropper 的持久性。恶意软件使用的注册表键从配置文件中的 Key 获取。

有效载荷

有效载荷文件包含一行反转的十六进制恶意载荷。整个字符串以 …x0 结尾。Later版本的 NeedleDropper将有效载荷从单独的文件移至位于
[Troj][FinTroj] 序列之间的配置中。

有效载荷文件内容的片段

AutoIt 脚本

整个执行过程是通过作为参数传递给 AutoIt 解释器的 AutoIt脚本完成的。代码隐藏在大量未使用的文本行之中。恶意软件在每一行重要代码前面放置注释(在这种情况下为 #ce),以确定哪些行应视为代码进行解释。

执行 AutoIt 脚本(垃圾信息已剔除)

有效载荷执行

恶意软件使用 CryptoAPI 解密最终有效载荷。它从配置文件中获取解密密钥,并计算其 MD5 哈希,这作为 CryptDecrypt
函数的键,用于解密恶意有效载荷。完成以后,NeedleDropper 生成 RegSvcs.exe 的挂起状态,并通过
WriteProcessMemory 注入有效载荷,然后恢复该挂起的进程,从而成功执行恶意软件。

NeedleDropper 执行流程的可视化

感染链

NeedleDropper没有一个明显的感染方法;这些方法在各个样本中常常有所不同。到目前为止,我们已经注意到这种载体主要通过垃圾邮件附件传送。作为电子邮件附件,恶意软件通常作为加密的
7z 文件发送,或作为更大感染链的一部分,例如以 Excel 文档开始。然而,NeedleDropper 样本也经常通过 Discord 或
OneDrive 连结进行分享。由于各种感染方法和不同的有效载荷,这种恶意软件似乎是网络罪犯隐藏其有效载荷的一种服务。

垃圾邮件的片段

上述电子邮件包含一份 Excel 文档,利用了 漏洞,将 vbc.exe(NeedleDropper)文件放置于
C:\Users\Public 目录中。执行 vbc.exe 后,它会将内容放置到临时目录中。在这个特定示例中,NeedleDropper 解密
FormBook 有效载荷,然后将其注入 RegSvcs 进程并执行。


感染链的可视化

分布

以下图片显示了 Avast 全球用户被 NeedleDropper 保护的情况。

2022年第 4 季度 Avast 保护的
NeedleDropper 用户地图

受保护用户的图表

结论

在这篇博文中,我们描述了一种新的恶意软件载体,对于对手们在其感染链中的使用非常普遍。根据我们目前的了解,我们认为开发者会修改这个载体,以实施不同的方法来避免检测,并保持对他人作为服务的吸引力。我们预测
NeedleDropper 将在全球各地开始感染越来越多的人,并使用不同的现代化有效载荷。

潜在威胁指标

GitHub 仓库:

| 文件名称 | SHA256 | | — | — | | NeedleDropper | 660eb5f2811753c24ecbd5c0e08c68d83d7eca1b2827ed90e2a5189ed61f3a5b | | NeedleDropper | f7e52f120ab257e0d8e5021077b3370876be16469b76b6e0b6916486b3977bb3 | | NeedleDropper | 06b02574925948a3f418ba2851f10585086a5f9b25d8f4e7de62dd52c6a56153 | | NeedleDropper | e53e5e07b3165f507046c5992049a816bdd98969f10cc97a3d2bd010aea30b42 | | NeedleDropper | 1b26f3213c07819cd61ed5e10b009ae5862cade4a3a403dcc6f6310485f6306b | | 配置文件 | 1d3078201c04bebc6595a2cc874530f1c2a5ff7201db4c8e43660808563c5a63 | | 配置文件 | dd7acb0d5e05d581148b614816f5450690f3fcc8ba4b3f00b5db1f3684570053 | | 配置文件 | 8713d873a8f4179a4079ea46a6ae45a538dc2f07cf7b09f28adc25eec45dc873 | | 垃圾邮件 | 01534a0f3e104b7cbafeeeaac3a0f0bf9d01e017c8a63964d81d0a30baee2916 |

此文章基于 Jan Blažek 在其学士论文工作中进行的研究。

标签:、、、

分享:XFacebook

Leave a Reply

Your email address will not be published. Required fields are marked *