惡意軟體識別工具Yara ,竟被惡意程式用來作弄資安研究人員

對絕大多數資安研究人員來說，Yara 是一個非常寶貴的惡意軟體識別工具，它可建立一些規則來追蹤惡意程式，讓許多資安研究人員的作業流程可以自動化。然而，儘管 Yara 可靠又好用，但卻不應當成監控最新惡意程式變種的唯一工具。

網路上可以找到很多 Yara 的規則，從 Yara-Rules 專案到本部落格文章所提供用來偵測惡意程式入侵指標 (IOC) 的 Yara 規則都有。除此之外，資安研究人員還可建立屬於自己的規則來偵測目前正在尋找的特定威脅，有時候並不會輸給網路上所提供的規則。

《延伸閱讀》透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

當 Yara 的某個規則被觸發時，它會產生警示來提醒研究人員採取進一步行動，包括啟動虛擬機器 (VM) 或除錯器和解譯器來查看被觀察的樣本到底試圖做些什麼，這對許多資安研究人員來說，算是家常便飯。

在趨勢科技監控威脅的過程當中，有一個惡意程式的樣本 (趨勢科技命名為 JOKE_CYBERAVI) 觸發了許多條 Yara 規則。我們第一次發現這個樣本的時間是在全球標準時間 (UTC) 2017-05-11 14:33:49。當查看該執行檔的 PE 標頭時，我們看到它的時間戳記是全球標準時間 12:57:16。換句話說，我們是在該檔案產生出來後的 90 分鐘左右就發現到該檔案。全部加起來，該檔案我們總共偵測到 26 次。

圖 1：JOKE_CYBERAVI 檔案屬性。

一開始，該檔案看起來還蠻有趣的，因為它似乎內建了某些防除錯機制。這類技巧通常是惡意程式為了防止研究人員利用反向工程加以研究。

圖 2：惡意程式的部分程式碼。

當查看該檔案的 PE 資源時，我們發現到有些奇怪，它有三段資源：RT_MANIFEST、CYB 和 LOL。沒錯，有個叫做「LOL」(放聲大笑) 的資源。

圖 3：惡意程式樣本中的 PE 資源。

「101」這個區段就是植入受害系統上執行的檔案。追蹤一下惡意程式碼就可發現這是一個惡意程式所播放的 .AVI 檔案。

圖 4：惡意程式的部分程式碼。

當該檔案在 Windows 上播放時，我們很難看出該檔的內容是什麼，因為該程式所啟動的播放器似乎遇到了編碼上的問題或其他狀況。

圖 5：惡意程式樣本所植入系統的 .AVI 檔案。

由於惡意程式所啟動的播放器無法順利播放該 AVI 檔案，因此我們就將該檔案直接抽取出來播放。結果竟然發現是 Rick Astley 的歌曲「Never Gonna Give You Up」的 MV，這顯然是駭客要用來騙人觀賞的影片，這其實是一種叫做「RickRolling」(瑞克搖擺) 的網路惡作劇手法。

 

圖 6：「Rickrolling」(瑞克搖擺) 惡作劇影片。

回味 Rickrolling 惡作劇盛行的年代

我們不確定這是不是惡意程式在警告資安研究人員離它遠一點。我們曾試圖找出 PE 資源當中  CYB 區段的用途。但卻找不到任何呼叫到該區段的地方，因此我們又進一步追查了一下，結果很快就發現該檔案當中含有前述 Yara 規則專案中的絕大部分規則，以及其他一些熱門的規則。其用途顯然是為了偵測大家所監控的規則，其中還包括一些無法偵測的 RAT 遠端存取工具和 Havex 惡意程式。

我們認為，這有可能是惡意程式想要偵測某個企業機構用到哪些 Yara 規則，或者只是單純地惡作劇。不管是哪一種，我們倒是很開心能夠回味一下 Rickrolling 惡作劇盛行的年代 (2008年)。

儘管這是個蠻有趣的練習，偶爾自嘲一下倒也無妨，不過也提醒我們切勿盲目相信任何熱門的東西。在沒有經過更精密的技巧 (如趨勢科技 XGen™ 防護當中所含的預測式機器學習) 檢查之前，最好不要貿然處理或新增惡意程式樣本。

以下是本文相關的雜湊碼：

• SHA256: 827b2f0f5664271ab98aa00dbca85d387ce6d96234608e301007ed5a46d88001

「附錄 A」顯示 Yara 執行 Github 上 Yara-Rules 專案中的規則所輸出的結果。在各規則集當中至少找到 260 個相符的規則。

附錄 A：

規則

_root_040_zip_Folder_deploy

Ajan_asp

Ajax_PHP_Command_Shell_php

ak74shell_php_php

Antichat_Shell_v1_3_php

Antichat_Socks5_Server_php_php

Asmodeus_v0_1_pl

aspydrv_asp

Ayyildiz_Tim___AYT__Shell_v_2_1_Biz_html

aZRaiLPhp_v1_0_php

backdoor1_php

backdoorfr_php

bdcli100

bin_Client

BIN_Client

BIN_Server

binder2_binder2

by063cli

by064cli

byshell063_ntboot_2

c99madshell_v2_0_php_php

Casus15_php_php

cgi_python_py

chinese_spam_echoer

CmdAsp_asp

cmdjsp_jsp

connectback2_pl

connector

createP2P

csh_php_php

cyberlords_sql_php_php

DarkSpy105

dbgiis6cli

dbgntboot

Debug_cress

DeltaCharlie

DestructiveTargetCleaningTool5

DestructiveTargetCleaningTool6

DestructiveTargetCleaningTool7

Dive_Shell_1_0___Emperor_Hacking_Team_php

Dx_php_php

EditServer_Webshell

EditServer_Webshell_2

EFSO_2_asp

elmaliseker

elmaliseker_asp

FeliksPack3___PHP_Shells_phpft

FeliksPack3___PHP_Shells_ssh

FeliksPack3___PHP_Shells_usr

FSO_s_casus15_2

FSO_s_phpinj

FSO_s_reader

FSO_s_zehir4

fuckphpshell_php

h4ntu_shell__powered_by_tsoi_

Havex_Trojan_PHP_Server

HDConfig

hidshell_php_php

hkdoordll

hkshell_hkrmv

hkshell_hkshell

HYTop_CaseSwitch_2005

HYTop_DevPack_server

HYTop_DevPack_upload

HYTop2006_rar_Folder_2006

icyfox007v1_10_rar_Folder_asp

IndiaAlfa_One

IndiaBravo_generic

IndiaBravo_PapaAlfa

IndiaBravo_RomeoBravo

IndiaBravo_RomeoCharlie

IndiaCharlie_One

IndiaCharlie_Two

installer

ironshell_php

jsp_reverse_jsp

jspshall_jsp

JspWebshell_1_2_jsp

kacak_asp

lamashell_php

Lightweight_Backdoor1

LightweightBackdoor2

LightweightBackdoor3

LightweightBackdoor4

LightweightBackdoor5

LightweightBackdoor6

LimaCharlie

Liz0ziM_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_php

lurm_safemod_on_cgi

Malwareusedbycyberthreatactor1

Malwareusedbycyberthreatactor2

Malwareusedbycyberthreatactor3

Mithril_dllTest

Mithril_Mithril

Mithril_v1_45_dllTest

multiple_php_webshells

multiple_webshells_0002

multiple_webshells_0003

multiple_webshells_0005

multiple_webshells_0010

multiple_webshells_0015

multiple_webshells_0016

multiple_webshells_0019

multiple_webshells_0022

multiple_webshells_0030

multiple_webshells_0031

mysql_shell_php

MySQL_Web_Interface_Version_0_8_php

ngh_php_php

NT_Addy_asp

PapaAlfa

PasswordReminder

Pastebin_Webshell

perlbot_pl

PHANTASMA_php

PHP_Backdoor_Connect_pl_php

php_backdoor_php

PHP_Cloaked_Webshell_SuperFetchExec

php_include_w_shell_php

PHP_shell

PHP_Shell_v1_7

pHpINJ_php_php

phpjackal_php

phpshell17_php

phvayvv_php_php

ProxyTool1

ProxyTool2

ProxyTool3

r57shell_php_php

rdrbs084

rdrbs100

Reader_asp

regshell

Rem_View_php_php

rknt_zip_Folder_RkNT

RkNTLoad

RomeoCharlie

RomeoEcho

RomeoJuliettMikeTwo

rootshell_php

rst_sql_php_php

s72_Shell_v1_1_Coding_html

Safe_Mode_Bypass_PHP_4_4_2_and_PHP_5_1_2_php

Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php

screencap

sendmail

sh_php_php

shankar_php_php

shell_php_php

shellbot_pl

shells_PHP_wso

shelltools_g0t_root_Fport

shelltools_g0t_root_HideRun

shelltools_g0t_root_resolve

shelltools_g0t_root_xwhois

SierraBravo_packed

SierraCharlie

sig_2008_php_php

SimAttacker___Vrsion_1_0_0___priv8_4_My_friend_php

simple_backdoor_php

Simple_PHP_BackDooR

SimShell_1_0___Simorgh_Security_MGZ_php

Sincap_php_php

small_php_php

sql_php_php

STNC_php_php

Str_Win32_Http_API

Str_Win32_Internet_API

Str_Win32_Wininet_Library

Str_Win32_Winsock2_Library

svchostdll

TangoAlfa

telnet_cgi

telnetd_pl

thelast_orice2

Tool_asp

Unpack_Injectt

vanquish

vanquish_2

w3d_php_php

WebShell__findsock_php_findsock_shell_php_reverse_shell

WebShell_AK_74_Security_Team_Web_Shell_Beta_Version

webshell_asp_404

webshell_ASP_aspydrv

webshell_asp_EFSO_2

webshell_asp_ice

WebShell_Ayyildiz_Tim___AYT__Shell_v_2_1_Biz

WebShell_b374k_mini_shell_php_php

WebShell_b374k_php

webshell_B374kPHP_B374k

webshell_bypass_iisuser_p

webshell_caidao_shell_404

webshell_caidao_shell_guo

webshell_caidao_shell_ice_2

WebShell_CasuS_1_5

webshell_cihshell_fix

webshell_dev_core

webshell_Dx_Dx

webshell_Expdoor_com_ASP

webshell_GetPostpHp

webshell_gfs_sh_r57shell_r57shell127_SnIpEr_SA_xxx

webshell_ghost_source_icesword_silic

WebShell_go_shell

WebShell_h4ntu_shell__powered_by_tsoi_

WebShell_hiddens_shell_v1

webshell_iMHaPFtp_2

webshell_itsec_PHPJackal_itsecteam_shell_jHn

webshell_Java_Shell

WebShell_lamashell

WebShell_Liz0ziM_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit

webshell_MySQL_Web_Interface_Version_0_8

webshell_PHP_b37

WebShell_php_backdoor

webshell_PHP_c37

webshell_php_fbi

WebShell_php_include_w_shell

WebShell_php_webshells_matamu

WebShell_php_webshells_MyShell

WebShell_php_webshells_NGH

WebShell_php_webshells_pHpINJ

webshell_phpkit_0_1a_odd

webshell_phpspy_2005_full_phpspy_2005_lite_phpspy_2006_PHPSPY

WebShell_PhpSpy_Ver_2006

WebShell_qsd_php_backdoor

WebShell_ru24_post_sh

WebShell_safe0ver

webshell_sig_404super

WebShell_simattacker

WebShell_SimAttacker___Vrsion_1_0_0___priv8_4_My_friend

webshell_simple_backdoor

WebShell_Simple_PHP_backdoor_by_DK

webshell_webshell_cnseay_x

webshell_webshell_cnseay02_1

webshell_webshells_new_code

webshell_webshells_new_con2

webshell_webshells_new_JSP

webshell_webshells_new_pHp

webshell_webshells_new_PHP1

webshell_webshells_new_php2

webshell_webshells_new_php5

webshell_webshells_new_php6

webshell_webshells_new_pppp

webshell_webshells_new_xxxx

WebShell_WinX_Shell

webshell_wsb_idc

WebShell_zehir4_asp_php

wh_bindshell_py

WhiskeyAlfa

WhiskeyDelta

Win32FertgerHavex

Win32OPCHavex

WinX_Shell_html

wiper_encoded_strings

wiper_unique_strings

xssshell_db

xssshell_save

zacosmall_php

ZXshell2_0_rar_Folder_nc

ZXshell2_0_rar_Folder_zxrecv

ZXshell2_0_rar_Folder_ZXshell

 

• 原文出處： Yara Used to RickRoll Security Researchers 作者：Stephen Hilt (資深威脅研究員)

 

 

 

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼