趨勢科技最近發表對一起新攻擊活動的調查結果,這起攻擊活動稱為EvilGrab,一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者,我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。
在現在現實世界的EvilGrab產生器
帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊(请修改指正).doc.exe。檔名是用簡體中文(它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1,趨勢科技將其偵測為BKDR_EVILOGE.SM)。它會連到命令和控制伺服器(203.186.75.184和182.54.177.4),分別位在香港和日本。它還會將自己複製到啟動資料夾,並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。
然而,有些被加入的註冊碼有著特殊意義:
HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings
HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment
這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似,這惡意軟件會對騰訊QQ(一個流行的中國即時通系統)進行相同檢查。
雖然惡意軟體本身並沒有特別不尋常的地方,但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在,而且命名為Property4.exe。
我們可以看到攻擊者可以輸入好幾個欄位。其中包括了:
- 指定命令和控制(C&C)伺服器(IP地址或網域名稱),端口和連接時間間隔。
- 選擇檔案圖示(安裝檔案圖示,檔案夾圖示和文件圖示)
- 刪除自己
- 鍵盤記錄
- 按鍵記錄
另外,在這產生器的第二選項頁內,攻擊者可以選擇試圖繞過的防毒產品:
圖二、繞過防毒軟體
測試EvilGrab產生器
這時候,我們決定要測試這產生器的功能,並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。
首先,我們打開產生器,輸入一些基本設定來產生測試版的EvilGrab。
圖三、EvilGrab產生器
我們的輸出選擇使用微軟Word檔案圖示,檔名為New.doc.exe,如下圖所示。請注意,這微軟Word檔案圖示描繪得很精確。
圖四、EvilGrab測試樣本
除了製造惡意檔案外,還會產生一個包含連線詳細資料的設定檔。
圖五、EvilGrab設定檔
我們接著分析剛剛產生的惡意檔案。我們發現跟原本部落格內所介紹的EvilGrab惡意軟體功能一樣,包括會檢查騰訊QQ。我們也看到它會將程式碼注入到正常的svchost.exe程序。
相似之處
將我們在現實環境內所發現的EvilGrab樣本跟產生器所製造的樣本做比較,它們在功能方面幾乎完全一樣。
比方說註冊碼幾乎一模一樣。很快地來看一下被編輯的註冊碼樣本以檢查兩者間的相似程度。
表一、會被編輯的Windows註冊表內容
同樣地,兩個樣本都有幾乎相同的輸入函數。在下表,你可以看到一些輸入函數的範例。
表二、輸入函數
結論
我們已經在現實環境內看到多個EvilGrab樣本好一段日子了。然而,有了這產生器,我們便可以開發更強大的防護形式,並持續保護我們的客戶來對抗惡意軟體家族。它也讓我們加強現有的威脅情報,來對付使用和開發它的惡意攻擊者。
想知道我們在之前所披露關於EvilGrab的資訊,可以參考我們之前關於APT目標攻擊的報告,裡面也提到了EvilGrab。
@原文出處:EvilGrab’s Evil, Still Propagating作者:Kyle Wilhoit(資深威脅研究員)