关于本报告
本报告的目的是提供针对威胁行为者的可操作情报,以及他们用于侦察,交付,利用等的恶意软件或其他工具,以授权安全运营(SecOps)团队快速检测并响应此特定威胁。该信息也旨在使SecOps团队可以利用此报告中的情报,以便为所分析的恶意软件设置预防措施。对于这种恶意软件的受害者,可以使用此分析来了解恶意软件的影响(横向移动,数据泄漏,凭证收集等)。我们还将这些情报分享给社区,以帮助其他研究人员分析同一恶意软件。
MITER ATT&CK®桌子
13指示器映射在上述MITER ATT&CK®数据中。
分析概述
介绍
Rewterz的SOC团队在分析警报(特别是显示“ Trojan.Heuristic检测到”警报的安全控制)期间观察到了恶意软件活动。检测到文件后,该恶意软件文件将转发给Rewterz威胁搜寻小组进行详细分析。
该威胁情报报告基于Rewterz威胁狩猎团队的分析,在该分析中,我们检查了属于一个被称为“ Nanocore.Rat”的家族的恶意软件特定样本的详细信息。
文件识别
| 属性 | 值 |
| 文件名 | opixxxxss.exe |
| 文件类型 | 便携式可执行文件32 |
| 文件信息 | Microsoft Visual Basic v5.0 / v6.0 |
| 文件大小 | 100.00 KB(102400字节) |
| MD5 | DEE4977684FA55F729571C25C975E10 |
| SHA-1 | 2E90900BC501819DE971B5CC16350C54F76E44C3 |
| SHA-256 | ef0f27aded70c29415263833915d973bfe7c3aa399ba19d44fde195276fc4e8f |
| 病毒总分 | 42/70 |
| 混合分析得分 | 风险因素超过51% |
分析总结
根据我们的分析,已经发现该程序既不是基于CLI也不基于GUI,它仅在后端运行,并且提示在显示后的一秒钟内消失,因此在执行时几乎看不到。文件使用MSVBVM60.dll及其功能在下面解释。
该程序存在32位版本,并且还会删除名为verdens9.exe的另一个文件,该文件有助于启用远程桌面与其他计算机的公共连接。该木马包含用于响应其C&C服务器的硬编码URL和IP。它删除配置为使用“ RegAsm.exe” Windows进程来启动网络通信和出于相同目的的注册表更改的通信组件。
特点
通过分析发现的特征解释如下:
该文件将在文件夹Protokolch6中创建另一个名为verdens9.exe的文件,该文件夹在C驱动器中已经存在的Users主目录下创建。
该程序还通过使用以下参数“ / create / f / tn” PCI Monitor” / xml“%TEMP%\ tmpBD56.tmp”,还使用RegAsm将任务添加到任务计划程序中,并且还使用了注册表入口。
该程序还使用RegAsm通过在注册表目录中添加注册表来启用远程桌面连接,如以下屏幕快照所示:
依存关系
该木马依赖于MSVBVM60.dll库及其dropper verdens9.exe,并使用RegAsm.exe Windows基于程序的程序,该程序在注册表中添加值以确保其dropper的持久性并执行恶意活动,并且下面说明的流程图也将得到增强愿景。
行为调查
被分析程序的行为解释如下:
在第一次执行opixxxxss.exe之后,屏幕上没有任何显示,只在后台执行,而是删除了名为verdens9.exe的恶意软件,该恶意软件位于C驱动器中用户文件夹下的已创建文件夹Protokolch6中。
删除恶意文件后,它使用RegAsm.exe工具执行恶意任务,该工具用于在注册表中注册值。所有注册表更改都定义如下:
1.该恶意软件通过传递参数“ / create / f / tn” PCI Monitor” / xml“%TEMP%\ tmpBD56.tmp”,使用RegAsm进程将任务添加到任务计划程序中。
2.在将任务添加到任务计划程序后,恶意软件使用RegAsm创建verdens9.exe文件的持久性,并通过在注册表“ HKCU \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUNONCE”中传递以下参数,使其仅运行一次;密钥:“ MISCON”;值:“%USERPROFILE%\ Protokolch6 \ Verdens9.exe”。
3.然后,恶意软件尝试访问软件策略,系统证书策略,与系统语言相关的字符串,TCP连接的Windows服务特权。注册表路径在下面定义,在其中传递参数:
| HKCU \ SOFTWARE \ POLICIES \ MICROSOFT \ SYSTEMCERTIFICATES |
| HKCU \ SOFTWARE \ MICROSOFT \ SYSTEMCERTIFICATES |
| HKCU \控制面板\国际 |
| HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ TCPIP \ PARAMETERS |
下面的屏幕截图显示了RegAsm.exe在注册表中的条目
4.更改注册表后,它将尝试启动与以下URL和IP地址的网络连接:
| lws7q.bn.files.1drv.com |
| richykellyz.ddns.net |
| 185.140.53.196:39791 |
然而,URL和IP上面的定义并没有发现已知威胁的情报来源恶意的,但我们认为他们是恶意的,因为下面的恶意程序正在使用部分范围待办事项W¯¯ nloads API来检索URL“lws7q.bn.files.1drv的文件。 com”(上面已定义)。
5.还观察到另一个网络活动,该网络活动声明受感染的恶意软件属于Nanocore RAT家族,它正在端口39791的IP 185.140.53.196上发起请求,如下所示:
TCP请求后面的URL是“ meti.duckdns.org ”,表示这是Nanocore RAT恶意软件,URL的IP地址是“ 192.169.69.25”。
6.最后,该恶意软件通过在注册表中为TUserEnabled密钥传递参数“ 1”,从而启用系统中的远程桌面连接。传递密钥的目录为“ HKLM \ SYSTEM \ CONTROLSET001 \ CONTROL \ TERMINAL SERVER”,密钥值为1,表示正确。
结论
根据分析,该特洛伊木马旨在提供远程访问。Rewterz团队持续监控不断发展的高级恶意软件,并开发模式以检测恶意软件在不同播放器上的执行情况。根据该行为,它正在对未知的公共IP地址和URL发起请求,但在分析了整个恶意软件之后,发现该恶意软件属于RAT家族Nanocore,有助于创建出于恶意目的的远程连接。
Nanocore RAT的历史和功能
Nanocore是一个远程访问木马,于2012年首次出现,最初由作者在其网站nanocore.io上以25美元的价格出售,作者以“远程管理工具”的名义出售其工具。该网站吹嘘该软件具有以下功能:
通过远程桌面,远程网络摄像头和音频提要进行远程监视。
反向代理连接功能。
可负担性,价格为25美元。
插件支持。
24/7支持。
插件列表非常广泛,下面列出了一些可用的插件:
监视插件:允许麦克风和摄像头访问。
工具插件:可以更好地控制受感染的主机。
安全插件:提供对受感染主机的AV工具和防火墙的访问。
作者泰勒·哈德森(Taylor Huddleson)最终于2016年被捕,2018年他被判处33个月监禁。
蜀ICP备2021014542号
川公网安备 51118102000215号