趨勢科技發現了一種新的模組化無檔案殭屍網路病毒(命名為 Novter,也被稱為Nodersok或 Divergent),自三月起就一直透過KovCoreG惡意活動散播。自從此威脅出現發展以來,我們就一直積極地加以監控,也觀察到它經常地進行更新。從2011年就開始活躍的KovCoreG是以使用Kovter殭屍網路病毒聞名的長期惡意活動,主要是利用惡意廣告和漏洞攻擊套件散播。Kovter自2015年開始就一直參與點擊詐欺的操作,據報用欺詐性廣告讓企業損失超過2,900萬美元。在執法和網路安全專家(包括趨勢科技)的共同努力下,殭屍網路在2018年底被關閉。
殭屍網路關閉並沒有阻止網路犯罪分子。儘管殭屍網路已死,但我們注意到KovCoreG並未停止活動,而是開發了另一個殭屍網路。通過與ProofPoint威脅研究人員Kafeine的合作,我們發現了由KovCoreG操作者散布的新型無檔案殭屍網路 病毒Novter。
惡意廣告攻擊最初主要針對美國使用者,但從今年夏天開始已經延伸觸角到多個歐洲國家。我們的監測資料還顯示惡意廣告攻擊是通過部分的美國前百大網站散播,這些網站在之前也曾被Kovter濫用過。我們在技術報告內詳細介紹了對Novter的分析,尤其是其最值得注意的模組化能力。
圖1. KovCoreG、Novter和Nodster的感染鏈
KovCoreG的攻擊鏈
KovCoreG是利用社交工程攻擊的惡意廣告活動,誘騙使用者去下載軟體來更新過期的Adobe Flash應用程式。但事實上是下載惡意的HTA檔案 – Player{timestamp}.hta。當受害者執行了HTA檔案,它會從遠端伺服器(連線經過RC4加密)載入其他腳本,並且執行PowerShell腳本(似乎是從開放原始碼專案Invoke-PSInject取得的靈感)。
圖2. KovCoreG惡意廣告截圖(由ProofPoint提供)
圖3. KovCoreG惡意廣告流量截圖(由ProofPoint提供)
PowerShell腳本會停用Windows Defender和Windows Update的程序。它會執行一個Shellcode來透過CMSTPLUA COM接口(與連線管理有關)繞過使用者帳戶控制(UAC)。PowerShell腳本也內嵌了Novter,它會透過PowerShell反射注入技術做到無檔案執行。
Novter惡意軟體分析
Novter是執行檔形式的後門程式。一旦執行就會馬上執行下列的防除錯和防分析檢查:
- 將程序和模組名稱經過CRC32演算法運算後與內建的CRC32列表進行比對以搜尋是否列在黑名單內
- 檢查內核數量是否過少
- 檢查程序是否正在進行除錯
- 檢查休眠功能是否被改動過
如果發現任何以上狀況出現,則會回報給C&C伺服器。請注意,不同目的會使用不同組的C&C伺服器。像是有一組伺服器只用來回報防分析資訊。仔細檢查並回報受影響電腦的環境後,惡意軟體會進入休眠狀態很長一段時間。
Novter支援的後門命令為:
- killall – 終止程序並刪除檔案(對所有模組)
- kill – 終止程序並刪除檔案(針對特定模組)
- stop – 終止程序但不刪除檔案(針對特定模組)
- resume – 啟動程序(針對特定模組)
- modules – 下載並執行額外模組
- update – 下載新版本並安裝更新
- update_interval – 設定更新間隔時間
Novter會跟命令和控制(C&C)伺服器連線並下載多個JavaScript模組用於不同目的。我們確認了三個Novter模組,包括了:
- 在受害者電腦上顯示技術支援詐騙網頁的模組
- 利用WinDivert的模組,WinDivert是個Windows封包處理工具,用來擷取、修改或丟棄Windows網路堆疊收發的網路封包,好封鎖特定程序(如防毒軟體)的網路通訊
- 用NodeJS和io編寫代理網路流量的模組(稱為“ Nodster”)。我們認爲此模組是用來建構點擊詐欺操作所需的代理服務。
Novter模組“ Nodster”的技術分析
在分析Novter的過程中,我們發現了此惡意軟體所下載的三個值得注意的模組。其中一個我們稱為Nodster,是個網路代理模組。此模組會將NodeJS安裝在受害者電腦上,並在背景執行NodeJS腳本app.js。此腳本會連到內嵌的C&C伺服器地址,並接收第二個C&C伺服器的地址。
接著它會用socket.io協定建立對第二個C&C伺服器的反向連接。第二個C&C伺服器會返回命令來指示模組建立TCP連線,發送TCP封包並將伺服器回應返回給它們。這讓感染Novter的系統成為了攻擊者的代理伺服器。
圖4. Nodster代理與C&C伺服器間的通訊流程
關聯 Nodster的網路流量
在研究過程中,我們觀察到許多通過Nodster模組代理的加密流量,我們設法進行解密後發現用於網路廣告的腳本。這表示C&C伺服器指示受感染電腦連到帶有顯示廣告相關JavaScript的網站。
我們還注意到廣告流量似乎是從Android裝置發送,因為經由代理傳輸的HTTP(S)請求帶有來自Android裝置的HTTP User-Agent標頭。這些請求會附加帶有許多Android應用程式名稱的“ X-Requested-With”標頭。我們最初認為網路流量可能是由這些應用程式所產生,所以在Google Play上檢查了這些應用程式。但我們並沒有發現任何會產生這些網路流量的可疑程式碼。我們也沒有發現這些Android應用程式間有任何共享的相似程式碼。
圖5. 偽裝成來自Android裝置的HTTPS請求標頭
經過此發現,我們推斷廣告流量並非來自行動裝置而是由攻擊者產生。攻擊者將網路流量偽裝成是來自Android裝置和行動應用程式,並且通過Novter/Nodster殭屍網路代理。畢竟KovCoreG的運作跟點擊詐欺有關。
抵禦 Novter惡意活動
廣告是無害的線上行為,但KovCoreG惡意活動展示出廣告也可能帶有侵入性,更不用說Novter會讓使用者的系統暴露於其他威脅。鑑於KovCoreG跟點擊詐欺有關,它可能會對企業造成嚴重的影響。像是2018年發生的一次行動廣告詐欺事件讓Google及其合作夥伴損失了約1,000萬美元。
Novter還運用了無檔案感染作法並且混淆其C&C連線及詐欺相關流量,這些都顯示出詐欺者的技術相當成熟。使用者應該要採用最佳實作,尤其是在應對如惡意廣告之類的社交工程威脅時。
趨勢科技端點解決方案(如具備行為監控能力的Smart Protection Network™和 Worry-Free Business Security )可以偵測惡意檔案、腳本和郵件並封鎖所有相關惡意網址來保護使用者和企業抵禦Emotet之類的威脅。趨勢科技Apex One採用多種威脅檢測功能來進行保護,例如行為分析能夠抵禦惡意腳本、注入、勒索病毒、記憶體和瀏覽器攻擊。
此篇技術報告包含了我們完整的Novter研究資訊,同時在附錄中列出了入侵指標(IoC)。
@原文出處:New Fileless Botnet Novter Distributed by KovCoreG Malvertising Campaign 作者:Jaromir Horejsi和Joseph C. Chen(趨勢科技威脅研究人員)