BLADABINDI,也被稱為njRAT或Njw0rm,是一種遠程訪問木馬(RAT),具有眾多後門功能——從鍵盤記錄到執行分佈式拒絕服務(DDoS)。自首次出現以來,該木馬就已經在各種網絡間諜活動中被重新編譯和使用。事實上,BLADABINDI的可定製性以及可以在暗網地下黑市購買到的特性使得它成為一個廣泛存在的威脅。舉個例子:在上週,趨勢科技就遇到了一種蠕蟲病毒(由趨勢科技檢測為Worm.Win32.BLADABINDI.AA),它通過可移動驅動器傳播,並安裝了BLADABINDI後門的無文件版本。
雖然趨勢科技表示他們尚不清楚惡意文件是如何被放入受感染系統的,但其傳播例程表明它是通過可移動驅動器進入系統的。除此之外,BLADABINDI對靈活且易於使用的腳本語言AutoIt的使用也是值得注意的。它使用AutoIt(FileInstall命令)將payload和主腳本編譯成了單個可執行文件,這會使得payload (後門)很難被檢測出來。
圖1.用於展示已編譯AutoIt腳本常見痕跡的屏幕截圖(突出顯示部分)
技術分析
趨勢科技使用了AutoIt腳本反編譯器來解析可執行文件的AutoIt腳本,發現腳本的主函數首先會從系統的%TEMP%目錄中刪除所有名為“ Tr.exe”的文件,以便它可以放入自己的 Tr.exe版本。放入的文件將在終止了具有相同名稱的所有進程之後執行。另外,它還會將自身的一個副本放入同一個目錄中。為了建立持久性,它會在%STARTUP%目錄中為文件添加快捷方式。
為了進行傳播,它會將自身的隱藏副本放到在受感染系統上找到的所有可移動驅動器中。與此同時,它還會放入一個快捷方式文件(.LNK),並將可移動驅動器上的所有原有文件從其根目錄移動到一個名為“sss”的新建文件夾中。
圖2.此代碼快照用於展示經過反編譯的腳本
圖3.此代碼快照用於展示如何使用AutoIt的FileInstall命令將AutoIt腳本與任何
圖4:此代碼快照用於展示快捷方式是如何被添加的(上)以及它如何通過可移動驅動器傳播(下)
放入的Tr.exe實際上是另一個經AutoIt編譯的可執行腳本(Trojan.Win32.BLADABINDI.AA)。對它進行反編譯,可以看到它包含一個base-64編碼的可執行文件,它將在註冊表HKEY_CURRENT_USER\Software中的一個名為“Valuex”的註冊表值中寫入。
它還將創建另一個值,以建立持久性。它將使用一個名為“AdobeMX”的自運行註冊表(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)來執行PowerShell,以通過反射加載(從內存而不是從系統的硬盤加載可執行文件)來加載經編碼的可執行文件。
由於可執行文件直接從註冊表加載到PowerShell的內存,因此研究人員能夠轉儲惡意可執行文件所在的特定地址。趨勢科技發現,它是採用.NET編譯的,並使用了商業代碼保護軟件進行混淆。
圖5:用於展示PowerShell加載經編碼的可執行文件的屏幕截圖
BLADABINDI/njRAT payload
BLADABINDI後門的變種使用了water-boom[.]duckdns[.]org來作為其命令和控制(C&C)服務器,位於端口1177上。與之前的BLADABINDI變種一樣,與這個無文件版本的C&C服務器相關的URL使用的是動態域名系統(DNS)。這允許攻擊者隱藏服務器的實際IP地址,或根據需要來更改/更新它。
從C&C服務器下載的所有文件都作為Trojan.exe存儲在%TEMP%文件夾中。它使用字符串5cd8f17f4086744065eb0992a09e05a2作為其互斥鎖以及受感染計算機中的註冊表配置單元。它使用值 tcpClient_0作為它的HTTP服務器,在那裡它將接收從受感染計算機中竊取的所有信息。但是,由於該值被設置為null,因此所有被竊取的信息都將發送到相同的C&C服務器。
當後門運行時,它會創建一個防火牆策略,將PowerShell的進程添加到白名單中。BLADABINDI的後門功能如圖7所示,包括鍵盤記錄、檢索和執行文件,以及從Web瀏覽器竊取憑證。
圖6:用於展示BLADABINDI變種配置的代碼快照(上)以及它如何創建防火牆策略來將PowerSh
圖7.該BLADABINDI變種的後門功能
最佳實踐
這個蠕蟲病毒的payload、傳播方式以及在受感染系統中以無文件形式傳播後門的技術,使其成為一個重大的威脅。用戶,尤其是仍在工作中使用可移動媒體的企業應該採取必要的安全防衛措施。限制和保護可移動媒體或USB功能,或PowerShell之類工具的使用(特別是在具有敏感數據的系統上),並主動監控網關、端點、網絡和服務器,以查看異常行為和跡象,如C&C通信和信息竊取。
IoC
相關散列(SHA-256):
- c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e -Worm.Win32.BLADABINDI.AA
- 25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830 - Win32.BLADABINDI.AA
相關惡意URL:
- water[-]boom[.]duckdns[.]org(C&C服務器)
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
