深入分析新型恶意木马病毒

在例行的威胁搜索演习中研究人员发现了一个恶意活动，我们观察到黑客组织正在传播DarkTortilla恶意软件。DarkTortilla是一个复杂的、基于.net的恶意软件，自2015年以来一直活跃在恶意软件市场。众所周知，该恶意软件会释放多个窃取程序和远程访问木马(rat)，如AgentTesla、AsyncRAT、NanoCore等。最近，安全研究人员发表了一篇关于DarkTortilla及其详细行为的博客。根据他们的分析，DarkTortilla通过带有恶意附件的垃圾邮件感染用户。我们同时发现DarkTortilla背后的黑客组织还创建了网络钓鱼网站来分发恶意软件

如下所示，我们发现了两个伪装成合法Grammarly和Cisco网站的钓鱼网站。钓鱼网站链接可以通过垃圾邮件或网络广告等方式到达并感染用户

钓鱼网站下载恶意样本，进一步导致DarkTortilla感染用户。两个钓鱼网站提供的样本显示了不同的DarkTortilla恶意软件感染技术。有趣的是，恶意软件会修改受害者的.LNK文件的目标路径，以保持其持久性。这篇博客详细介绍了感染技术和有效载荷交付。

技术分析

来自Grammarly 钓鱼网站的DarkTortilla Loader:

当用户点击“Get Grammarly”按钮时，Grammarly钓鱼网站会下载一个名为“GnammanlyInstaller.zip”的恶意压缩文件。该zip文件还包含一个恶意的cabinet 文件，

“GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe”伪装成一个Grammarly可执行文件。下图显示了该文件的详细信息。

GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe "此文件是一个cabinet文件(. cab)，在执行后会在temp目录中删除一个基于.net的“EMPLOY~2.EXE”文件。“deploy ~2.EXE”文件是32位.NET可执行文件，sha256值为“8cabfe5b8eacb81a456f3e2caa4da76ee3123e77603e2dfd338c283aa8f6cfcd”。

执行时. NET可执行文件从远程服务器下载加密文件" hxxps://atomm.com[.]br/. famous /acme-challenge/ol/ Fjawtld[.]png "，使用RC4逻辑解密并在内存中执行。下图显示了恶意软件用来解密文件的代码片段。

解码后的文件是一个DLL文件，文件名为“Kreocxoyxpcstfwtjlrj.dll”，sha256为“c5d91e6209d0db07e0d2f3a88bdb97d7fb9ccc0b906c514b5648f6f1aa104d3e”。恶意软件进一步在内存中加载DLL文件，该文件作为最终有效载荷，并在系统中执行其他恶意活动。

来自CISCO钓鱼站点的DarkTortilla Loader from CISCO Phishing Site:

思科钓鱼网站从以下URL下载文件

" hxxps://cicsom.com/download/TeamViewerMeeting_Setup_x64.exe "是vc++编译的二进制文件，如下所示。

在执行时，恶意软件执行几个MOV指令，将加密内容复制到堆栈上，用于进一步的恶意活动。恶意软件使用这种技术可以逃避反病毒检测。

在将内容移动到堆栈后，恶意软件对加密的内容执行解密循环以获得可执行文件(PE)，创建一个新的注册表项“HKEY_CURRENT_USERSOFTWARETeamViewerMeeting_Setup_x64”，并将解密的PE文件复制为如下所示的二进制值。

恶意软件使用相同的技术，执行几个mov指令，并将PowerShell命令复制到堆栈内存中，如下所示

在此之后，恶意软件绕过UAC使用“COM Moniker

Elevation:Administrator! new:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}”并使用PowerShell .exe执行先前创建的PowerShell内容。下图显示了恶意软件使用的PowerShell命令。

PowerShell命令从注册表键“HKEY_CURRENT_USERSOFTWARETeamViewerMeeting_Setup_x64”中加载二进制值，并将其保存在“LOCALAPPDATA”文件夹中的“Battle.net-Setup.exe”中，然后执行它。PowerShell命令还为“Battle.net- Setup.exe”创建了一个任务调度器条目作为持久机制。下图显示了恶意软件创建的任务调度器条目。

载荷分析

下图显示了名为“Battle.net-Setup.exe”的恶意软件有效载荷的文件信息，该恶意软件有效载荷是一个基于.NET编译器的gui32位可执行文件，如下所示。

在执行时，“Battle.net-Setup.exe”文件检索并加载名为“COROTIA.dll”的新模块，然后从内存中执行它。“COROTIA.dll”是真正的DarkTortilla有效载荷，负责所有恶意活动，如创建持久性、进程注入、检查虚拟环境、显示假消息、与C&C服务器通信、接收命令、下载额外有效载荷等。

下图显示了新加载模块的.NET类

在执行“COROTIA.dll”模块时，它将一个较大的字节数组转换为HEX值，其中包含与反vm检查相关的字符串、用于进程注入的可执行名称、配置详细信息等，如下所示

AntiVMs

恶意软件执行反虚拟机检查，以确定文件是否在受控制的环境下执行，如Vmware, Vbox等。

FakeMessage

该类包含代码用于显示下面的假消息以欺骗用户，使其相信由于依赖的应用程序不可用，应用程序无法执行。

•MessageTitle:”.Net Framework初始化错误”

•MessageBody:“要运行此应用程序，您首先必须安装以下版本的. net框架之一:r 。Net Framework, Version = 4.8.0 "

Persist

这个类通过创建自动启动条目来负责恶意软件的持久性，例如将自己的副本放入Startup文件夹中并创建Run/Winlogon注册表项。

•恶意软件使用%InstallationReg%和%InstallationKey%配置元素来创建正常的持久性。

•恶意软件使用%HiddenReg%和%HiddenKey%配置元素来创建隐藏的持久性。

Decrypter

恶意软件使用该类来进行解密操作

.NET类的CreateDecryptor()方法

System.Security.Cryptography.RijndaelManaged，如下所示。

Install

恶意软件使用这个类，通过将有效载荷文件作为参数传递，使用newlatbbinding . lateget()方法加载和执行解密的有效载荷，如下图所示。

Persistence using LNK files

•在我们的测试中，恶意软件使用上面提到的解密器加载并执行额外的有效载荷.net类。加载的文件是一个vc++编译文件，负责修改受害者快速启动.LNK文件目标路径。解密后的vc++文件执行以下操作。

•在执行时，它会创建一个名为“NUkiklN

•恶意软件现在创建一个副本“Battle.net-Setup.exe”到新创建的“tmp”文件夹名为“system_update.exe”

•然后，使用FindFirstFileExW()和FindNextFileExW()等API函数在以下位置查找LNK文件。

"%Userprofile%AppDataRoamingMicrosoftInternet ExplorerQuick Launch

•之后恶意软件检索每个目标路径.LNK文件标识，获取应用程序的图标，并使用CreateFileA、getIconInfo()、GetObjectA()和WriteFileA()等api将其存储在“tmp”位置。

•恶意软件接着创建.bat文件，包含执行“system_update.exe”文件和实际应用程序的命令，如下所示。

接下来，它修改的目标路径.LNK文件并更改它以执行

分别在“tmp”位置创建的“.bat”文件。恶意软件使用此技术创建持久性，并在用户单击时执行恶意文件。LNK文件出现在快速启动位置

得持久性后，恶意软件连接到它的C&C服务器，并等待命令从远程服务器下载额外的有效载荷。这个DarkTortilla被称为下载远程访问木马(rat)，如Agentesla, Nanocore, Asyncrat等

总结

DarkTortilla恶意软件是一种高度复杂的基于.net的恶意软件，其目标是随意任意的用户。在这次活动中黑客使用伪装的钓鱼网站来传播DarkTortilla恶意软件。从钓鱼网站下载的文件显示出不同的感染技术，这表明黑客应该有一个复杂的平台，能够使用各种选项定制和编译二进制文件。