当“无文件”攻击遭遇U盘传播,又是一场“血雨腥风”

-回复 -浏览
楼主 2022-05-13 11:53:34
举报 只看此人 收藏本贴 楼主

安全预警

“无文件”攻击对于我们来说并不陌生,今年年初有研究人员爆出全球上百家银行和金融机构遭到了“无文件”恶意程序攻击,这些恶意程序通常是由于用户不经意访问恶意网站或者点击恶意广告下载感染本机。此次,亚信安全截获的最新“无文件”恶意程序是通过U盘传播的,亚信安全将U盘恶意程序命名为TROJ_ANDROM.SVN。

 

U盘恶意程序分析

 

U盘包含如下两个恶意文件,这两个恶意文件均被亚信安全检测为TROJ_ANDROM.SVN:

 

  • addddddadadaaddaaddaaaadadddddaddadaaaaadaddaa.addddddadadaaddaaddaaaadadddddadda

  • IndexerVolumeGuid

 

U盘的autorun.inf 已经被修改去执行前面的文件,该文件可以解密后面文件的内容。解密后的数据被加载到内存中并运行。解密的文件名作为加密密钥。实际上,并没有文件被保存在被感染的系统中。


基于其它样本的分析,我们发现在相同的U盘中存在快捷方式文件,亚信安全将该快捷方式文件检测为LNK_GAMARUE.YYMN,该文件指向 %System%\cmd.exe /c start rundll32{DLL file with long file name},{DLL’s export function}文件,目的是欺骗用户点击运行病毒文件。

 

USB恶意程序感染流程


【USB恶意程序感染流程图】


从上图中,我们可以看到整个感染流程:


  1. USB恶意程序解密后的文件将会建立注册表自启动项,通过建立的注册表项目启动木马程序JS_POWNET.DE。


  2. JS_POWNET.DE执行后,将会下载恶意程序TROJ_PSINJECT (亚信安全将其检测为TROJ_PSINJECT.A).该文件是Powershell脚本文件,其会链接如下网站:

    hxxps://bogerando[.]ru/favicon


  3. TROJ_PSINJECT下载一个名为favicon的普通文件,然后使用ReflectivePELoader将favicon文件解密并注入其进程, ReflectivePELoader通常用于注入EXE / DLL文件。


  4. Favicon文件使用RC4密钥进行解密后得到“无文件”恶意程序BKDR_ANDROM,该文件被亚信安全检测为BKDR_ANDROM.ETIN。该文件将不会保存到被感染的系统中,而是注入到powershell.exe进程中,所有的恶意行为都是恶意程序使用PowerShell命令执行的。


  5. BKDR_ANDROM将会终止系统中运行的powershell.exe,其还会收集以下数据:

    · 硬盘序列号

    · 操作系统版本

    · 本地 IP地址

    · 管理员权限

 

基于不同的操作系统,病毒行为会有所不同



透过此次事件,我们发现攻击者会尽量隐藏自己的攻击行为,让攻击检测和事件响应变得更为困难。另外攻击者可以不使用恶意程序即可完成攻击行为,基于内存的恶意软件攻击将成为发展趋势。


亚信安全教你如何防范


亚信安全最新病毒码版本13.626.60已经可以检测本文中提及的所有恶意文件,请用户及时升级病毒码版本。


亚信安全防毒墙网络版(OfficeScan)的行为监控策略可以有效检测“无文件”恶意程序。


行业热点


亚信安全是亚信集团“领航产业互联网”版图中的重要业务板块,于2015年由亚信科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组,专注于产业互联网安全服务领域,是中国领先的云与大数据安全技术、产品、方案和服务供应商。

长按二维码即可关注

了解亚信安全,请点击阅读原文

↓↓↓ 
我要推荐
转发到