2足球‘qiu’网址『zhi』(www.9cx.net):NukeSped 通过 Bundlore 提议了一种新型攻击

免费足球贴士网

www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

在观察 NukeSped(一种远程接见木马)样本时,趋势科技研究职员发现几个 Bundlore 广告软件样本使用与 NukeSped 中发现的相同的无文件例程。

该后门可能是网络犯罪组织 Lazarus开发的,该组织至少自 2014 年以来一直活跃。 NukeSped 有多种变体,旨在在 32 位系统上运行并使用加密字符串来逃避检测。最近,作为 Lazarus 网络特工流动的一部门,这种名为 ThreatNeedle 的木马程序泛起了一种更庞大的形式。

在这些样本中发现的加密 Mach-O 文件已将 Bundlore(一种以下载正当应用程序为幌子在目的装备中安装广告软件的恶意软件家族)升级为更隐藏且常驻内存的威胁。 Bundlore 还以 macOS 装备为目的,并与去年对 macOS Catalina 用户的攻击有关。北京时间2019年6月4日破晓,在2019年WWDC全球开发者大会上,苹果macOS全新版本Catalina宣布。将iTunes拆分为苹果音乐、苹果播客和苹果TV。

研究职员对 Lazarus 使用的 Ants2WhaleHelper 文件的剖析导致研究职员将其检测为 NukeSped。 VirusTotal 中还发现了另一个具有 NukeSped 检测功效的文件 unioncryptoupdater。两者都包罗一个看起来基于 GitHub 提交的例程。然而,新鲜的是,这些文件似乎都没有使用这个例程。

在 Ants2WhaleHelper 文件上使用 Interactive Disassembler Pro (IDA Pro) 显示其主要载荷为 _mapBuffer(图 1),它似乎是 _memory_exec 函数的修改版本(图 2)。这个函数看起来像是基于 GitHub 帖子中的代码;然则,没有指向 _memory_exec 函数的引用。

_mapBuffer 函数

从 GitHub 帖子复制的 _memory_exec 函数

此外,有用载荷有一个 _resolve_symbol 函数,它似乎没有被使用。它似乎也不是必须的,如图 3 所示。NukeSped 通常从 Web 服务器检索和启动其有用载荷,因此它不需要多余的 _resolve_symbol 函数,该函数在内部定位数据。如图4所示,在VirusTotal上搜索这个函数的操作代码会在201个文件中检测到它。效果只发生了两个NukeSped样品,而其余的是Bundlore样本。

NukeSped(左)与 Bundlore(右)的 _resolve_symbol 函数

搜索到的操作码

类似地,使用 VirusTotal 的 Retrohunt 举行搜索获得 273 个效果;其中大部门是 Bundlore 文件,只有三个是 Nukesped 文件。然则,这些 Nukesped 样本中的一个被验证为来自先前搜索的 Nukesped 文件的父级。在发现的 Bundlore 样本中,最古老的样本可以追溯到去年 5 月。对来自 VirusTotal 查询的这些 Bundlore 样本的进一步骤查显示,这些样本确实使用了无文件例程,使 Bundlore 能够直接从内存中执行有用载荷。

Bundlore 的无文件例程

新2足球网址

www.9cx.net)实时更新发布最新最快最有效的新2足球网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

研究职员对 Bundlore 样本的研究解释,它们行使了 NukeSped 样本中未使用的相同功效。如图 5 所示,它们被混淆了,由于在 IDA Pro 中反汇编时它们的名称是随机的。虽然函数有一些差异,但内存文件执行的例程保持稳固(图 6 和 图8)。

混淆函数

NukeSped(左列)与 Bundlore(右列)样本的反汇编

其中一个 Bundlore 样本(sha256:0a3a5854d1ae3f5712774a4eebd819f9e4e3946f36488b4e342f2dd32c8e5db2)的主要例程如下:

解密 __DATA.__data 部门以显示嵌入的 Mach-O 文件,如图 7 所示。 解密使用每个周期递增的 XOR 密钥:例如,0xDD 递增 0x2A、0xDD、0x00、0x2A、0x54, 0x7E、0xA8、0xD2、0xFC、0x00 等等。

 __DATA.__data部门的解密例程

挪用一个名为 NSCreateObjectFileImageFromMemory 的函数从内存中的 Mach-O 文件确立一个广告软件图像。之后,挪用 NSLinkModule 将恶意图像链接到主可执行文件的图像库。 Mach-O 文件花样从可执行文件 (0x02) 更改为包 (0x08),然后才气挪用 NSCreateObjectFileImageFromMemory,如图 6 所示。

在内存中剖析 Mach-O 文件的头结构以获取 value(LC_MAIN),一个值为 0x80000028 的加载下令。该下令包罗诸如 Mach-O 文件入口点的偏移量之类的数据(图 8)。之后,广告软件检索偏移量并转到入口点。

在 NukeSped(左列)与 Bundlore(右列)中查找恶意图像的入口点

Bundlore 的 Mach-O 文件在内存中运行

解密密钥和增量值在 Bundlore 样本中有所差异,为了更好地明白嵌入文件,研究职员确立了一个 Python 脚原本解密和提取嵌入的 Mach-O 文件。通过这样做,研究职员能够考察到一个这样解密的 Mach-O 文件(sha256:a7b6639d9fcdb13ae5444818e1c35fba4ffed90d9f33849d3e6f9b3ba8443bea),它毗邻到一个目的URL (13636337101185210173363631[.]cloudfront[.]net/?cc-00&),然则地址在差其余样本中是差其余。然后下载一个名为 Player.app 的应用程序包,它伪装成 Flash Player,然后被下载并解压缩到 /tmp 目录中。 chmod 777 下令用于提取的应用程序包,然后启动伪造的应用程序。在执行这些例程时,Bundlore 会显示一条诓骗性错误新闻(图 10)。完成后,它通过挪用 sleep 函数并重复循环来休眠。

解密后的 Mach-O 文件的主要程序

Player.app 显示的虚伪错误新闻

本文翻译自:https://www.trendmicro.com/en_us/research/21/f/nukesped-copies-fileless-code-from-bundlore--leaves-it-unused.html

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。