近日,360沙箱云和360安全情报中心监测到一起通过邮件传播的恶意程序攻击。恶意程序通过电子邮件发送给受害者,并通过邮件正文和附件诱导用户执行附件中的恶意程序,来实现入侵。
经过360沙箱云高级威胁分析平台分析和安全专家分析确认,此攻击样本是臭名昭著的 Mydoom 蠕虫病毒。该病毒通过受感染的计算机发送垃圾邮件进行传播,并通过品牌仿冒和伪造来欺骗和诱导用户,实现传播扩散的目的。在这篇文章中,我们将通过自动化分析和专家分析的方式,向大家呈现这起恶意程序攻击的更多细节。
最近几个月,我们多次监测到此病毒及其变种的活跃情况,电子邮件的发件人、标题和正文都有所不同。发件人和标题仿冒 EasyPay、E-Gold 等在线支付机构;正文都比较简单,仅有一些“账号激活成功”之类的英文提示语。在这里我们列出其中的一些信息。
EasyPay 仿冒邮件:
E-Gold 仿冒邮件:
同一发件人的多次邮件:
样本信息
| MD5 | SHA1 |
|---|---|
| 194b2f31cc40249c041a5581e6a12a5b | d3d8bee614f04572da7eaa26d51c15ebb3c8d6c2 |
沙箱检测
通过360沙箱云高级威胁分析平台的自动化分析,此样本文件得到了恶意的判定结果,并产生了明显的恶意特征:
静态分析
360沙箱云集成的静态查杀引擎检测出此样本文件所属的恶意家族和类型是 Mydoom 蠕虫:
行为分析
网络连接行为检测,检测出样本有多种网络行为并且会发送垃圾邮件:
持久化检测,监测到此样本进程创建开机自启动项:
信息发现检测:
MITRE ATT&CK™ 矩阵映射:
行为关系分析:
网络分析
360沙箱云针对此样本文件的分析任务监测了大量的网络活动数据。
流量特征分析:
主机连接:
DNS 解析请求:
HTTP 请求:
TCP/UDP 通信:
通过 SMTP 协议发送传播邮件:
威胁指标
基于360安全情报中心的高精准威胁情报数据,360沙箱云识别到此样本文件产生的大量网络活动、行为活动和痕迹为高危指标,为此样本文件的判定提供更强有力的证据:
专家分析
360沙箱云高级威胁分析平台为分析师和安全研究员们提供了强大的自动化分析能力。通过安全专家的深度挖掘,我们发现了深藏在此样本文件中的更多细节。
运行流程
详细分析
- 邮件附件是一个压缩包,压缩包中是一个带 upx 壳的名为 readme.exe 的文件。
文件基本信息:
脱壳后:
样本中使用的关键字符串均被加密在使用时进行解密。
解密算法:
IDAPython 实现:
- 该样本运行后首先进行反调试、反沙箱。
反调试:
通过磁盘描述反沙箱:
- 将 shervans.dll 文件设置自启。
使用 dll com 劫持实现自启,自启注册表如下:
HKCR\CLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
{Default} = %system%\shervans.dll
- 检测是否存在注册表配置项,以此判断是否是初次运行。
注册表配置项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\vulnvol32\Version
- 不存在注册表配置项则进入初次运行分支。
5.1> 写入 ctfmen.exe 文件。
ctfmen.exe 文件被加密存储在 VA_4115E0:
该样本在写入文件后会将本地 user32.dll 的时间属性复制给写入文件并对写入的文件进行微修改操作,以 ctfmen.exe 文件为例修改前后的对比如下:
ctfmen.exe 文件信息:
ctfmen.exe 文件的主要功能是运行 smnss.exe 文件:
5.2> 写入 shervans.dll 文件。
shervans.dll 文件被加密存储在 VA_40F3E0:
shervans.dll 文件信息:
shervans.dll 文件功能:将 %system%\ grcopy.dll 文件复制为 %system%\smnss.exe 文件。
satornas.dll 文件实际是一个 inf 文件,其被用于感染移动硬盘,文件内容如下:
监听本地 3159 端口,等待连接并执行接收到的指令:
持久化:
持久化的文件分别是 shervans.dll 和 ctfmen.exe。
持久化注册表分别是:
HKCR\CLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32{defoult}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
运行 %system%\smnss.exe 文件:
感染可移动磁盘:
将 grcopy.dll 复制到磁盘根目录,名称是注册表配置项中的 “namecp”。
5.3> 设置注册表配置项的值。
配置项中包括用户 id,部分功能开关,记录信息:
5.4> 将样本文件复制为 %system%\grcopy.dll 文件。
5.5> 加载 shervans.dll 文件,运行 ctfmen.exe 文件。
在运行 ctfmen.exe 文件时其文件路径不全并未运行成功,最终由 shervans.dll 文件运行shervans.dll %system%\smnss.exe 文件使样本二次运行。
- 存在注册表配置项则进入二次运行分支。
6.1> 创建互斥体。
互斥体名:
VULnaShvolna
6.2> 创建线程发送垃圾邮件。
首先将 grcopy.dll 文件压缩为 zipfi.dll 文件和 zipfiaq.dll 文件,压缩文件名分别为 readme.exe、foto.pif。
然后检测网络连接状态,连通则从本地磁盘的目标文件中搜索目标邮箱地址,搜索到邮箱地址则创建邮件并发送给目标邮箱。
搜索磁盘:
搜索目标文件:
从文件内容中查找目标邮箱地址:
排除含有特定字符串的邮箱地址,例:
随机组织邮件内容:
邮件字符串:
最后连接 SMTP 服务器将样本压缩文件作为附件一同发送给目标邮箱。
6.3> 判断 shervans.dll 是否在运行,没有则加载运行。
6.4> 创建线程感染可移动磁盘。
将 satornas.dll 文件复制到磁盘根目录,名称为 autorun.inf。
6.5> 连接 DGA 算法生成的域名。
DGA 域名生算法以当前时间为种子。
生成域名:
连接域名时发送的主要数据:
欲访问的文件:
指令解析:
总结
在这篇文章中,我们通过自动化分析和专家分析的方式,向大家呈现这起恶意程序攻击的更多细节。希望通过这篇文章的分析,能让读者们对这类恶意程序有更深的了解。在平时的上网活动中,希望读者们能够提高警惕,不要点击不明来源的邮件、链接、附件文件,如果您不知道这些文件的可靠性和安全风险,360沙箱云和360安全情报中心可随时为您提供帮助!
如果您已不幸感染此恶意程序,遭受到此恶意程序的攻击,您可尝试以下途径加以补救挽回:
第一步:断开被感染主机的网络连接,终止蠕虫病毒的常驻进程或服务。
第二步:使用360终端安全管理系统全盘扫描清除蠕虫病毒。
第三步:修复被篡改的系统设置,包括注册表、系统服务、计划任务等蠕虫病毒常用位置。
第四步:再次全盘扫描确认蠕虫病毒是否清除完毕,如果蠕虫病毒无法清除或反复出现,请联系技术人员。
第五步:清除完毕后要确认蠕虫病毒感染途径,避免二次感染。及时更新安全补丁、更改账户密码。
关于我们
360沙箱云是 360 安全情报中心旗下的在线高级威胁分析平台,对提交的文件、URL,经过静态检测、动态分析等多层次分析的流程,触发揭示漏洞利用、检测逃逸等行为,对检测样本进行恶意定性,弥补使用规则查杀的局限性,通过行为分析发现未知、高级威胁,形成高级威胁鉴定、0day 漏洞捕获、情报输出的解决方案;帮助安全管理员聚焦需关注的安全告警,过安全运营人员的分析后输出有价值的威胁情报,为企业形成专属的威胁情报生产能力,形成威胁管理闭环。解决当前政企用户安全管理困境及专业安全人员匮乏问题,沙箱云为用户提供持续跟踪微软已纰漏,但未公开漏洞利用代码的 1day,以及在野 0day 的能力。
全新版本的360沙箱云高级威胁分析平台即将发布,为广大用户提供威胁分析服务,敬请期待!
360混天零实验室负责高级威胁自动化检测项目和云沙箱技术研究,专注于通过自动化监测手段高效发现高级威胁攻击;依托于 360 安全大数据,多次发现和监测到在野漏洞利用、高级威胁攻击、大规模网络挂马等危害网络安全的攻击事件,多次率先捕获在野利用 0day 漏洞的网络攻击并获得厂商致谢,在野 0day 漏洞的发现能力处于国内外领先地位,为上亿用户上网安全提供安全能力保障。
发表评论
您还未登录,请先登录。
登录