一、背景
腾讯安全御见威胁情报中心发现附带H-Worm蠕虫病毒变种的钓鱼邮件攻击。攻击者参考VBS蠕虫病毒H-Worm代码制作JS版本变种,并将其打包为压缩文件,之后伪装成某电影特效制作公司向攻击目标邮箱投递包含病毒附件的邮件。目标用户不慎打开附件中的压缩文件,H-Worm蠕虫变种会立即执行,病毒会连接远程服务器接收指令对中毒电脑进行远程控制。
H-Worm蠕虫病毒还会通过在U盘、移动硬盘等可移动存储设备上创建大量指向病毒的Lnk文件,从而通过移动存储设备在目标网络中横向传播扩散。
钓鱼邮件传播H-Worm蠕虫变种流程
腾讯御点及腾讯电脑管家均可查杀该病毒,腾讯安全专家建议用户谨慎处理不明邮件的附件。
二、详细分析
攻击者伪造了来自日本某公司的发件邮件信息
邮件中提示参阅附件VPO0918001.zip,并提到付款相关信息。同时还说明了需要提供电影样本、制造以及定制设计等内容。
当我们尝试打开邮件伪造的发件邮箱地址时,发现该地址的确是一家从事电影及音乐短片制作的日本公司。这表明出黑客在攻击前,特意搜集了发邮件时需要用到的伪造公司的信息,进而在攻击过程中构造与该公司相关的邮件内容,以此来迷惑被攻击对象,诱惑其打开邮件附件。
邮件附件文件VPO0918001.zip,该文件解压后释放VPO0918001.js,后续分析可知VPO0918001.js是完全由JS脚本实现的远控木马。
VPO0918001.js经过混淆和base64编码,执行前需要解混淆。首先通过正则匹配将代码中的“%@>”替换为“A”,然后将替换后的代码通过base64解码,得到最终要执行的代码
解密后的代码分成两个部分,一部分为释放子木马lkdsUaKrEM.js到%appdata%目录下并启动执行,另一部分为JS远控代码主体。释放的子木马lkdsUaKrEM.js与母体木马代码逻辑比较相似。
VPO0918001.js
远控代码开头,初始化信息,包括上线地址、端口等
host |
上线地址 |
bedahogs.100chickens.me |
port |
上线端口 |
4441 |
startup |
全局启动项目录 |
startup |
installdir |
木马安装目录 |
%appdata% or %temp% |
查询安图高级威胁溯源系统可以看到服务器bedahogs.100chickens.me对应的IP为178.239.21.37,地址位于波黑
然后执行instance函数进行持久化,首先根据注册表HKEY_LOCAL_MACHINE\\software\\中是否存在与脚本名相同的项目,来判断是否已经感染,并将该值记录到usbspreading,表示感染U盘。若不存在对应的注册表项则重新写入。
然后在instance中调用upstart将JS脚本木马写入注册表Run启动项(HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\),并将木马文件复制到安装目录(%appdata%或%temp%),
以及全局启动项目录startup(C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)。
完成持久化之后,进入木马主体,在一个大while循环中不断执行安装操作和询问服务器(发送参数“is-ready”),并根据服务器返回的不同指令执行各类动作。
在安装函数install中对系统中的移动磁盘进行感染,包括U盘或移动硬盘等移动存储设备都会被植入木马。感染时首先枚举drivers,找出类型为“1”的磁盘(可移动盘),然后将木马文件复制到该盘根目录下,然后枚举该盘中的所有文件及文件夹,使用每个文件或文件夹的名字生成快捷方式,并将快捷方式启动对象设置为木马文件。
感染效果如下
打开每个lnk内容为:
C:\windows\system32\cmd.exe /c start VPO0918001.js
&start explorer *****&exit
感染完成后向服务器发送“is-ready”命令,等待服务器返回指令。
木马接收服务器共23个远控指令对肉鸡进行完全控制,功能包括断开连接、重启、关机、搜集密码、上传日志、下载执行程序、启动各类插件、执行cmd命令、枚举进程、启动键盘记录程序等,指令及对应功能整理如下:
搜集系统信息
搜集反病毒产品信息
搜集浏览器、邮箱中使用的登录密码
开启键盘记录
下载执行程序
执行shell命令(cmd)
枚举进程
lkdsUaKrEM.js
邮件附件压缩包中投递的木马VPO0918001.js除了执行自身的恶意功能外,还会释放子木马lkdsUaKrEM.js,子木马被释放到%appdata%目录,大小只有36K,执行后拷贝自身到全局启动目录,具有与母体相似的功能例如持久化、远控、感染移动设备。
采用与母体同样的混淆方式,执行时会进行还原
与母体相同的远控功能不再进行分析,不同的地方是,子木马中包含作者的skype信息:“live:unknown.sales64”,但是不能确定传播该木马和制作该木马的黑客为同一个人。另外子木马中的控制端上线地址与母体不同,为brothersjoy.nl,端口为6789。
而通过对比发现,该木马的代码与其他厂商早期发现的H-Worm蠕虫病毒有较大相似之处,推测此次攻击中黑客参考H-Worm病毒制作了木马,并且将病毒实现语言由VBS脚本修改为JS脚本。
三、安全建议
1、不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;
2、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;
3、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;
4、对于已中招用户,除了使用杀软清理“H-Worm”病毒外,还可手动做以下操作:
删除文件:
%appdata%\ VPO0918001.js
%temp%\VPO0918001.js
%appdata%\ lkdsUaKrEM.js
%temp%\ lkdsUaKrEM.js
C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VPO0918001.js
C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lkdsUaKrEM.js
删除注册表项:
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\VPO0918001.js
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\lkdsUaKrEM.js
IOCs
Domain
brothersjoy.nl
bedahogs.100chickens.me
C&C
brothersjoy.nl:6789
bedahogs.100chickens.me:4441
md5
2908aea37739687ddf8c2e8153acd492
c66d257c78ecece9da26183be4935b58
f03019a53ce55fe08d02fc0c0f105f56
参考资料:
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/java-vbs-joint-exercise-delivers-rat/
https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-H-Worm.html