【資安 】AutoIt 蠕蟲透過可移除磁碟,散播無檔案後門程式BLADABINDI/njRAT

BLADABINDI(也被稱為njRAT/Njw0rm)是一種遠端存取工具(RAT),具備了鍵盤側錄、執行分散式阻斷服務攻擊” (DDoS)攻擊等眾多後門功能,一再地被重複運用在各種網路間諜活動中。事實上,BLADABINDI的可客製性及可從網路地下世界取得讓它成為一種常見的惡意威脅。趨勢科技前幾日就發現了一隻蠕蟲病毒Worm.Win32.BLADABINDI.AA,它會透過行動碟來散播並安裝無檔案版本的BLADABINDI後門程式。

雖然仍無法確切知道惡意檔案如何進入受感染系統,但其散播行為顯示出它會透過行動碟來進入系統。AutoIt除了是一種靈活且易於使用的腳本語言外,BLADABINDI如何去濫用它也很令人關心。它利用AutoIt(FileInstall命令)來將後門程式和主腳本編譯成單一的執行檔,讓後門程式難以被偵測到。

圖1:截圖顯示出常見的AutoIt編譯腳本標示(用紅色框圈出)

技術分析

我們用AutoIt腳本反編譯器來從執行檔取出AutoIt腳本,發現腳本的主函式會先刪除系統%TEMP%資料夾內的Tr.exe檔案,好安裝自己版本的Tr.exe。終止相同名稱的程序後就會執行植入的檔案。它還會將自己複製到同一個資料夾內。為了達到持續性,它會將檔案捷徑加入%STARTUP%資料夾。

 

為了進行散播,它會將自己複製到受感染系統所有的可移除磁碟。它還會加入一個捷徑檔案(.LNK),並將可移除磁碟原本的檔案都從根目錄移動到名為sss的資料夾內。

圖2:反編譯腳本執行檔

圖3:如何用AutoIt的FileInstall命令將AutoIt腳本與檔案綁在一起,然後在腳本執行時載入檔案

圖4:顯示如何加入捷徑(上)及它如何透過可移除磁碟散播(下)

 

被植入的Tr.exe其實是另一個AutoIt腳本執行檔(Trojan.Win32.BLADABINDI.AA)。反編譯後發現它包含一個用base64編碼過的執行檔,會寫入登錄表HKEY_CURRENT_USER\Software內的登錄值項Valuex

 

它還會建立另一個值項來達到持續性。使用的是自動執行登錄表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run內的AdobeMX,它會執行PowerShell來透過反射載入(從記憶體載入執行檔而不是從系統磁碟)編碼過的執行檔。

 

由於執行檔直接從登錄表載入到PowerShell的記憶體,因此我們能夠轉儲惡意執行檔所在的特定地址。我們發現它是用.NET所編譯,使用商業等級的程式碼保護軟體來進行混淆處理。

圖5:截圖顯示PowerShell載入編碼過的執行檔

 

BLADABINDI/njRAT有效載荷(payload

 

BLADABINDI後門程式變種利用water-boom[.]duckdns[.]org端口1177作為命令和控制(C&C)伺服器。跟BLADABINDI之前的幾個版本一樣,這個無檔案版本的C&C相關網址使用動態DNS。這讓攻擊者能夠隱藏伺服器的實際IP地址或根據需要來加以更改/更新。

 

從C&C伺服器下載的檔案以Trojan.exe儲存在%TEMP%資料夾中。它使用字串5cd8f17f4086744065eb0992a09e05a2作為受感染電腦上的mutex跟登錄HIVE。登錄值tcpClient_0是用來設定接收受感染電腦竊來資料的HTTP伺服器。但由於該值設為null,因此所有被竊資料都會送到同一個C&C伺服器。

 

當後門程式執行時,它會建立一個防火牆政策,將PowerShell程序加進系統允許的程序列表。BLADABINDI的後門程式功能如圖7所示,包含了鍵盤側錄,取回和執行檔案,以及從網頁瀏覽器竊取帳密。

 

圖6:顯示BLADABINDI變種設定的程式碼(上);建立防火牆政策將PowerShell加入允許執行的程序列表(下)

圖7:BLADABINDI變種的後門功能

 

最佳實作和趨勢科技解決方案

 

蠕蟲病毒在受感染系統上的有效載荷(payload)、散播能力以及能夠無檔案地散布後門程式的技術讓其成為一種嚴重的威脅。使用者和企業(尤其是仍在工作場所使用可移除媒體的單位)要建立良好的資安習慣。限制並防護可移除媒體或USB功能或PowerShell等工具的使用(特別是在放有敏感資料的系統上),並主動監視閘道、端點、網路和伺服器來檢視異常行為和可疑指標(如C&C通訊和資料竊取)。

 

使用者和企業還可以使用趨勢科技的端點解決方案(如PC-cillin 2019 雲端版趨勢科技OfficeScanWorry-Free Business Security ),它們都包含了行為監控技術來偵測無檔案惡意軟體攻擊。可以幫助組織找出惡意行為,在惡意軟體執行或動作前先加以封鎖。OfficeScan還包含了設備控制功能,可以防止USB和光碟被存取,防止類似本文中所討論的攻擊。具備趨勢科技XGen™ 防護端點安全防護技術的趨勢科技趨勢科技OfficeScan結合了高保真機器學習與其他偵測技術和全球威脅情報,可全面性地防範進階惡意軟體。

 

入侵指標(IoC):

 

相關雜湊值(SHA-256):

  • c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e -Worm.Win32.BLADABINDI.AA
  • 25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830 – Win32.BLADABINDI.AA

 

相關惡意網址:

  • water[-]boom[.]duckdns[.]org(C&C伺服器)

 

@原文出處:AutoIt-Compiled Worm Affecting Removable Media Delivers Fileless Version of BLADABINDI/njRAT Backdoor 作者: Carl Maverick R. Pascual(威脅分析師)