本文详细分析了肚脑虫(Donot)组织近期的攻击活动,发现其使用的Downloader进行了更新,具有新的特征。恶意样本通过宏代码释放KB3179573DLL和KB4507004.bat程序,利用计划任务执行。Donot组织的历史版本Downloader也进行了梳理,展示了其代码和行为特性的演变。该组织持续更新攻击手段,保持其恶意活动的隐蔽性和复杂性。
近期,安恒信息威胁情报中心监测到疑似肚脑虫(Donot)组织新的攻击活动,并且Downloader做了更新。猎影实验室进行了梳理分析,并大致整理了该组织这类Downloader的演变史。
分析
恶意样本如107d25c7399b17ad6b7c05993b65c18e为包含恶意宏代码的文档,运行恶意宏代码会弹出一个报错窗口,
这算是Donot其中一个标志性的特征,
并会释放KB3179573 DLL程序和KB4507004.bat程序,通过计划任务来执行bat。和以往Donot组织样本具有相似的行为特性。
KB4507004.bat将KB3179573重命名成了inet.dll,并通过计划任务来执行inet.dll。以及另一个计划任务执行hostcom.exe。
inet.dll(MD5:d140f63ff050c572398da196f587775c)是一个下载者,较以往该组织下载者样本有明显的变化,但仍有相似特性的延续。
样本会判断是否存在hostcom.exe
解密C2地址supportsession[.]live,
并下载下一阶段载荷,保存为hostcom.exe,后续通过计划任务执行。
其中字符串解密算法为
该恶意文档样本最后修改时间为2020年03月17日,并且上传地为斯里兰卡,那么有可能是该组织在3、4月间对其发起攻击。
肚脑虫(Donot)Downloader演变梳理
肚脑虫组织使用恶意文档释放恶意程序的方式进行攻击,释放的恶意程序许多为下载器。随着时间推移,该组织会修改或完善代码,经过梳理,按时间顺序大致可以分为下面一些历史版本。
历史版本1:C# Downloader
如69a11a136572ba8ebfc53ffd7b58b675,直接进行下载执行
历史版本2:VC Download + yty
如59733668b3ad8056ffd4c5c9db876cbc,直接下载执行
历史版本3:Stage1-Downloader + Stage2-Downloader
如2320ca79f627232979314c974e602d3a + 68e8c2314c2b1c43709269acd7c8726c
Stage1直接下载执行
Stage2 判断当前进程路径
与C2通讯,
根据返回数据是否为“no”、“cmdline”或其它来进一步操作,
下载文件
文件路径
历史版本4:Stage1-Downloader + Stage2-Downloader
如f67595d5176de241538c03be83d8d9a1 + e0c0148ca11f988f292f527733e54fca
Stage1直接下载执行
Stage2 同样会与C2通讯获取指令,
根据返回数据的Content-Type内容为
"Content-Type: application" 下载文件
"Content-Type: cmdline" 执行PE文件
"Content-Type: batcmd" 执行BAT文件
进行后续操作,
文件路径
历史版本5:Downloader
如4b1685d6d5586354f3c14aae13cf053f
同样会与C2通讯获取指令,
根据返回数据的Content-Type内容为
"Content-Type: application" 下载文件
"Content-Type: cmdline" 执行PE文件
"Content-Type: batcmd" 执行BAT文件
进行后续操作,
此版本已不直接出现明文路径,需要解密,
历史版本6:Downloader
如a23a1e85d5b93febfedec5f114dc540a
同样会与C2通讯获取指令,
根据返回数据的Content-Type内容为
"Content-Type: application" 下载文件
"Content-Type: cmdline" 执行PE文件
"Content-Type: batcmd" 执行BAT文件
进行后续操作,
此版本也并没有直接给出明文路径,而且换了另一种加密算法。
历史版本7:Downloader
如8b640d71f6eda4bdddeab75b7a1d2e12
同样会与C2通讯获取指令,
此版本明文字符串也被加密,包括User-Agent等,算法与版本6相同,
同时返回数据的Content-Type指令名称发生变化,
"Content-Type: application" 下载文件
"Content-Type: xDvsds" 执行PE文件
"Content-Type: Bw11eW" 执行BAT文件
版本8:DLL Downloader
使用和版本6、版本7相似的加解密算法,
解密算法
同样具有下载功能,回连地址、user-agent都被加密。
小结
肚脑虫(Donot)延续了以往的一些代码、行为特性,并仍在不断更新代码,应用在持续的攻击活动中。
IOCMD5
107d25c7399b17ad6b7c05993b65c18e
d140f63ff050c572398da196f587775c
b64708c07e1615286d0aa1dff22fa0dc
a9d6d2d93eda11e89ed2ca034b81e6ef
8b640d71f6eda4bdddeab75b7a1d2e12
Domain
supportsession[.]live
requestupdate[.]live
声明
本文仅限技术研究与讨论,严禁用于非法用途。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,安恒信息以及文章作者不为此承担任何责任。安恒信息拥有对此文章的修改和解释权,未经允许不得修改、增减内容,不得以任何方式将其用于商业目的。
团队招聘
招聘二进制安全研究员
职位描述:
1、在日常可疑文件分析的基础,进行数据挖掘,寻找APT攻击事件;
2、分析客户反馈的可疑文件,编写分析报告,提供解决方案等;
3、负责热门安全事件、最新漏洞的分析,编写分析报告或poc代码等
4、研究新的检测方法,维护和完善APT检测等产品策略
5、协助内部威胁分析平台建设等
职位要求:
1、熟悉windows、Linux上调试手段,能够熟练使用常用逆向分析工具(IDA、WinDbg、OD等);
2、熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
3、熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
4、熟悉安全漏洞原理,有独立文档漏洞分析能力;
5、至少1年以上逆向分析、安全研究相关工作经验,能力优先不受工作年限限制;
6、具备大数据挖掘能力,对数据极度敏感,能够快速对数据进行关联分析;
7、思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神;
8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、反APT攻击、机器学习相关、IOT、ICS等工作经验的优先。
联系方式:
xiaoyi.tu@dbappsecurity.com.cn
往期精选
围观
安恒EDR提示:云平台bffbe挖矿爆发,请留意机器资源消耗情况!
热文
12部门联合发布《网络安全审查办法》 6月1日起实施(全文&答记者问)
热文
宁波银行:打造“网络资产管理”新样本
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
