番茄系統(tǒng)家園 - 免費(fèi)重裝系統(tǒng)!簡單裝系統(tǒng),人人都是裝機(jī)大師!
當(dāng)前位置:首頁>電腦故障 > 德國用戶受Gootkit及REvil惡意軟件威脅

德國用戶受Gootkit及REvil惡意軟件威脅

來源:番茄系統(tǒng)家園瀏覽:時間:2022-03-20 14:16:24

德国用户受Gootkit及REvil恶意软件威胁

早在11月23日,研究人员就收到了一位合作伙伴发出的关于德国Gootkit攻击复发的警报。Gootkit是一个功能强大的银行木马,自2014年起就存在了,并且具有许多功能,例如旨在窃取与财务相关的信息的按键或视频记录。

在最新的活动中,攻击者通过使用诱饵论坛模板来诱骗用户下载恶意文件,从而依靠受到攻击的网站对用户进行社交工程。

在分析复杂的恶意软件加载程序时,研究人员找到了一个令人惊讶的发现。受害者会收到Gootkit本身,或者在某些情况下会收到REvil(Sodinokibi)勒索软件。在对犯罪基础设施进行检查之后,决定是否提供一个有效载荷。

在德国观察到的Gootkit攻击样本

安全研究人员TheAnalyst于11月首次公开使用复杂的加载程序公开识别一个活跃的Gootkit攻击样本,该加载程序最终将幕后的主使者指向了Gootkit,此前Gootkit已经沉寂了好长一段时间了。德国的计算机紧急响应小组DFN-CERT后来证实,受到攻击的网站已成为此次攻击的目标。

大约在同一时间,研究人员开始从一些合作伙伴及其ISP收到有关Gootkit相关流量的报告。研究人员能够在遥测范围内确认所有位于德国的Gootkit检测。

德国用户受Gootkit及REvil恶意软件威胁

德国的Gootkit攻击情况

几天后,研究人员修复了600多台遭到破坏的计算机。


初始加载程序通过被黑客攻击的网站传播,使用一种有趣的搜索引擎优化(SEO)技术定制虚假模板,试图欺骗用户下载文件。

该模板模仿一个论坛主题,在该主题中,用户以德语询问有关特定主题的帮助,并收到一个答案,该答案似乎正是他们所寻找的。值得注意的是,托管此模板的被黑网站不是德语(只有模板);它们只是很容易受到攻击,并被用作攻击基础设施的一部分。

德国用户受Gootkit及REvil恶意软件威胁

受攻击网站会加载诱饵模板来欺骗受害者

如果正确的受害者浏览了受攻击的网站,则攻击者会有条件地动态创建此虚假的论坛帖子。脚本从DOM中删除合法的网页内容,并添加自己的内容(该模板显示指向要下载的文件的链接)。

德国用户受Gootkit及REvil恶意软件威胁

诱饵模板后面的HTML代码视图

每次访问页面之前,都要进行服务器端检查,以确定是否已经向用户提供了假模板,在这种情况下,Web服务器将返回合法内容。

无文件执行和模块安装

一旦受害者执行了他们刚刚下载的zip存档中的恶意脚本,攻击过程就开始了。

德国用户受Gootkit及REvil恶意软件威胁

严重模糊处理的恶意脚本

此脚本是导致执行最终有效载荷的几个阶段中的第一个阶段。下图就是一个综述:

德国用户受Gootkit及REvil恶意软件威胁

攻击流程

阶段1:第一个JavaScript

第一个JavaScript模块必须由受害者手动执行的,为了隐藏其真实意图,它被模糊处理了。模糊处理由三层组成,上一层解码下一层的内容。

第一阶段就是对下一个元素进行解码:

德国用户受Gootkit及REvil恶意软件威胁

第一阶段脚本

解码后的输出是一个逗号分隔的JavaScript块数组:

德国用户受Gootkit及REvil恶意软件威胁

用逗号分隔的脚本数组

数组中有四个元素由它们的索引引用,例如,索引为0的元素表示“构造函数”,1是另一个JavaScript代码块,2是空的,3是导致调用提供代码的包装器。

块1负责读取/写入“HKEY_CURRENT_USER\SOFTWARE\

德国用户受Gootkit及REvil恶意软件威胁

第三层JavaScript

此代码段负责连接到C2,它从列表中获取域,并逐个尝试它们。如果得到响应,它将继续运行。

上面的下载器脚本是加载过程的第一阶段,在功能方面,它在所有被删除的文件中几乎是相同的。变体之间的区别将从下一部分开始,下一部分是从C2服务器获取的另一个JavaScript。

阶段2:第二个JavaScript(从C2下载)

服务器的预期响应是一个十进制字符串,其中包含用于验证的伪随机标记,需要在进一步处理之前将其移除,标记由 “@[requestargument]@”组成。

德国用户受Gootkit及REvil恶意软件威胁

使用C2服务器的GET请求

转换为ASCII后,将显示下一个JavaScript,并执行代码。该JavaScript带有嵌入式PE有效载荷,该载荷可能是Gootkit的加载程序,也可能是REvil勒索软件的加载程序。用于去模糊化的算法也存在一些差异。

Gootkit变体示例

德国用户受Gootkit及REvil恶意软件威胁

下载的JavaScript

下载的代码块负责安装持久性攻击元素,它还运行一个Powershell脚本,该脚本读取存储,对其进行解码并进一步运行。

阶段3:存储的有效载荷和解码Powershell

开发者还多样化了编码和存储有效载荷的方法,在研究人员的测试中,他们观察到了两种编码方式。在其中一种格式中,PE存储为Base64编码的字符串,而在另一种格式中存储为十六进制字符串,通过用模式替换特定的数字来模糊处理。

有效载荷通常存储为注册表项列表,但是研究人员还观察到了一种变体,其中类似的内容被写入TXT文件中。

存储在文件中的有效载荷示例:

德国用户受Gootkit及REvil恶意软件威胁

有效载荷作为磁盘上的文件

该文件的内容是一个模糊处理的Powershell脚本,该脚本运行另一个Base64模糊处理的层,该层最终对.NET有效内容进行解码。

用于对文件进行模糊处理的Powershell脚本示例:

下面研究人员将研究加载程序的两个示例:一个导致执行REvil勒索软件,另一个导致执行Gootkit。

示例1:加载REvil勒索软件

下面的示例显示了将PE文件编码为模糊处理的十六进制字符串的变体,在分析的案例中,整个流程导致了REvil勒索软件的执行。

执行第二阶段JavaScript将导致有效载荷以密钥列表的形式写入注册表。内容被编码为十六进制,并略微模糊处理。

德国用户受Gootkit及REvil恶意软件威胁

存储在注册表中的有效载荷片段,编码为使用模式模糊处理的十六进制字符串

编写密钥后,JavaScript会部署一个PowerShell命令,该命令负责解码和运行存储的内容。

德国用户受Gootkit及REvil恶意软件威胁

JS组件使用Base64编码脚本部署PowerShell

脚本的解码内容:

德国用户受Gootkit及REvil恶意软件威胁

解码后的内容

它从注册表项中读取内容,并通过替换模式来对其进行模糊处理。在给定的示例中,将十六进制字符串中的模式 “!@#”替换为“1000”,然后在.NETReflection的帮助下对PE进行解码和加载。

下一阶段的PE文件(.NET):

REvil加载程序:(0e451125eaebac5760c2f3f24cc8112345013597fb6d1b7b1c167001b17d3f9f)

.NET加载程序带有一个硬编码的字符串,该字符串是下一阶段的PE:最终的恶意载荷。PowerShell脚本调用的Setup函数负责解码和运行下一个PE:

德国用户受Gootkit及REvil恶意软件威胁

硬编码字符串(PE)

德国用户受Gootkit及REvil恶意软件威胁

部署有效载荷

加载程序借助Process Hollowing法(PE注入的经典方法之一)进入下一阶段。

德国用户受Gootkit及REvil恶意软件威胁

REvil赎金记录

示例2:加载Gootkit

在另一个常见变体中,有效载荷另存为Base64。注册表项以以下格式组成一个PowerShell脚本:

德国用户受Gootkit及REvil恶意软件威胁

存储有效载荷的注册表项

解码base64编码的内容后,研究人员得到另一个PowerShell脚本:

德国用户受Gootkit及REvil恶意软件威胁

更多的PowerShell

它还附带了另一个base64编码的片段,该片段在ReflectionAssembly的帮助下进一步解压缩和加载。它是.NET二进制文件,与上一个类似。

Gootkit加载程序:(973d0318f9d9aec575db054ac9a99d96ff34121473165b10dfba60552a8beed4)

该脚本从.NET模块调用函数“Install1”。此函数加载另一个PE,该PE作为base64编码的缓冲区嵌入其中:

德国用户受Gootkit及REvil恶意软件威胁

另一个缓冲区

德国用户受Gootkit及REvil恶意软件威胁

部署有效载荷

这次,加载程序使用另一种PE注入方法,即手动加载到父进程中。

显示的有效载荷是Gootkit的第一阶段二进制文件:60aef1b657e6c701f88fc1af6f56f93727a8f4af2d1001ddfa23e016258e333f。该PE用Delphi编写。在其资源中,研究人员可以找到另一个PE(327916a876fa7541f8a1aad3c2270c2aec913bc8898273d545dc37a85ef7307f),该文件已通过XOR进行了单字节模糊处理,它被第一个文件进一步加载。

总结

此活动背后的攻击者使用了非常聪明的加载程序,就像是俄罗斯套娃一样。该加载程序执行了许多步骤来逃避检测。鉴于有效载荷是使用随机命名的密钥存储在注册表中的,因此许多安全产品将无法检测到并删除它。

但是,在某些情况下该加载程序会负责下载REvil勒索软件。研究人员曾经能够在实验室中重现此流程,但大多数时候研究人员都发现的是Gootkit。

REvil组织对新成员有非常严格的规定,他们必须通过测试并必须为俄罗斯人。在研究人员收集到的REvil样本中,他们注意到的一件事是,赎金记录仍指向cryptoror.top而不是cryptoror.cc,这表明这可能是一个较旧的样本。

银行木马是一种与勒索软件截然不同的商业模式。勒索软件在过去几年中蓬勃发展,部分得益于知名受害者的巨额赎金。研究人员已经看到,银行恶意软件(即Emotet)变成了勒索软件的加载程序,在这些加载程序中,不同的攻击者可以专门研究其最擅长的领域。时间会告诉我们Gootkit的回归到底意味着什么,以及它将如何发展。

检测与保护

Malwarebytes通过不同的保护层来防止、检测和删除Gootkit和REvil。当研究人员收集到了攻击指标后,就能够阻止传播网站,使用户不下载初始加载程序。

当JavaScript通过WinRar或7-Zip等压缩文件应用打开时,研究人员基于行为的反利用层也可以阻止恶意加载程序,而不会产生任何签名。

德国用户受Gootkit及REvil恶意软件威胁

阻止脚本执行

如果系统已经攻击了Gootkit,Malwarebytes可以通过清理Gootkit隐藏的注册表项来补救:

德国用户受Gootkit及REvil恶意软件威胁

检测隐藏在注册表中的有效载荷

最后,研究人员还会检测并终止REvil(Sodinokibi)勒索软件:

德国用户受Gootkit及REvil恶意软件威胁

REvil勒索软件被阻止

攻击指标

德国用户受Gootkit及REvil恶意软件威胁

推薦系統(tǒng)

  • 雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載

    雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:WinXP

    雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。

    系統(tǒng)等級:
    進(jìn)入下載 >
  • 蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用

    蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7

    蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動,幫助用戶們進(jìn)行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。

    系統(tǒng)等級:
    進(jìn)入下載 >
  • 雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載64位
    系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動,可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,加固了系統(tǒng)安全策略,運(yùn)行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級:
    進(jìn)入下載 >
  • 蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載

    蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊推出的蘿卜家園

    系統(tǒng)等級:
    進(jìn)入下載 >
  • 蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊推出的蘿卜家園win10國內(nèi)鏡像版,基于國內(nèi)用戶的習(xí)慣,做

    系統(tǒng)等級:
    進(jìn)入下載 >
  • windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載

    windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載64位
    系統(tǒng)大小:0MB系統(tǒng)類型:Win11

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運(yùn)行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運(yùn)行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級:
    進(jìn)入下載 >

熱門系統(tǒng)