背景概述
科學技術的高速發展,帶來了大量的商業發展機會,同時也為終端安全帶來巨大的挑戰。近日,深信服終端安全團隊捕獲了Formbook樣本病毒。這是一款著名的商業惡意軟體,自2016以來在駭客論壇出售,因其隱蔽且易用的特點聞名。其主要利用釣魚郵件進行傳播,一旦使用者不小心下載開啟郵件附件,該惡意軟體將會安裝到終端上竊取機密資料和敏感資訊。
Formbook竊密軟體在駭客論壇上的售價並不是非常高昂,使得竊密的犯罪成本降低,很容易對使用者的終端資料造成威脅。
(圖片來自於海外媒體)
FormBook主要會從受害者的裝置(如鍵盤記錄器)中竊取受害者的鍵盤輸入以及某些軟體的資料,例如瀏覽器,Email客戶端和FTP客戶端等個人資訊,並使用C2的控制命令來操縱他們的裝置或者伺服器。
技術分析
該病毒上使用”傀儡“程式進行釋放以防止分析人員的除錯:透過GetProcAddress獲取函式名並釋放動態庫檔案ek0j.dll,並呼叫其惡意匯出函式Rcxlxosdkhvclf:
在temp檔案下寫入加密檔案:
加密檔案經解密後為一段shellcode,將其載入到記憶體並執行:
建立子程式:
對子程式的dump進行分析病毒真正的操縱,透過使用ida Lumina進行 f12匹配分析
初始化記憶體,該buffer區域在整個FormBook中進行讀寫,包含配置選項
該buffer記憶體區域:
具有標記組用來檢測該病毒是否在被除錯狀態下進行,在buffer+0x29的位置上,所以flag正確的check為:00 01 01 00 00 01 00 01 00 01 00
Base+0x34位置上檢查ASM執行時間差來判斷是否在除錯狀態:
存在該病毒的base,以及後面所運用到的檢索API的hash值,當前的os的位數,以及許多的dll的模組
全程使用計算以及比較hash,來獲取api的名字以及地址:
過載兩份ntdll,構建部分ntdll從而防止殺軟在3環對原始ntdll做檢測
反除錯檢查: r3與r0層的除錯,查詢SystemKernelDebuggerInformation,以及ProcessDebugPort
(SYSTEM_INFORMATION_CLASS)SystemKernelDebuggerInformation
當為0x23時為獲取系統是否在被除錯資訊存放到第2個引數指向的結構中,該結構是2個1位元組的結構,當處於除錯時這2位元組都會被寫入1從而判斷是否在r0層進行除錯
檢查黑名單程式:
程式也是透過hash的比對進行,程式列表為:
VBoxService.exe, VBoxTray.exe, VBoxService.exe,vmwareuser.exe, vmwareservice.exe, vmtoolsd.exe, vmusrvc.exe, vmsrvc.exe, sandboxiedcomlaunch.exe, procmon.exe, filemon.exe, wireshark.exe, NetMon.exe, python.exe, perl.exe
透過checkfilename ModulePath Username來判斷是否存在沙箱行為,沙箱一般會將使用者名稱變成特定使用者名稱從而該病毒進行檢查
檢查使用者名稱列表: Cuckoo sandbox nmsdbox wilbert xpamast
0x19996921為explorer程式hash,獲取執行緒進行劫持
Windows 程式名稱列表在初始化的buffer中被加密,透過索引選擇,Explorer中讀取到某32位程式資訊,explorer.exe
記錄下的程式列表為:
explorer.exe,wininit.exe,cmmon32.exe, svchost.exe,lsass.exe,raserver.exe,netsh.exe,rundll32.exe,control.exe, services.exe,ipconfig.exe等等
FormBook 隨機獲取 explorer.exe 返回的懸掛如上程式列表的程式資訊,將 FormBook 有效負載檔案複製到這些程式當中中,並將其主執行緒的入口點程式碼修改為注入的 FormBook 的OEP,執行 FormBook 的惡意程式碼,呼叫exitprocess來終止注入的formbook
該病毒使用explorer主執行緒來劫持以及進行APC注入且建立一個掛起的程式,在該掛起程式中實現遷移從而實現explorer程式中沒有建立新的程式,而建立掛起的程式父程式為explorer
在C:\Program File(x86)下建立了隨機的資料夾裡面有病毒程式formbook的過載
並透過登錄檔進行註冊
並使用這兩個檔案進行記錄獲取鍵盤等的資料,並進行通訊
與c2伺服器進行通訊,隨機選擇十六臺主機作為它自己的 c 2伺服器,並將竊取的資料傳送到這臺伺服器
C2列表:
34.102.136.180:80, 45.56.79.23:80, 52.200.25.77:80, 75.126.163.75:80, 167.114.6.31:80, 52.79.124.173:80, 163.44.239.71:80, 176.104.107.18:80, 162.0.239.203:80 ........
構造的新的控制塊
獲取樣本的路徑,設定當前的互斥,將病毒檔案過載記憶體
經過上述的惡意操作後,該病毒會刪除自身的檔案: C del “C:\Users\Simp1er\Desktop\virus”
加固建議
1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權,關閉不必要的檔案共享功能並且定期進行非本地備份;
2.使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;
3.避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
4.定期檢測系統漏洞並且及時進行補丁修復。
深信服安全產品解決方案
1.深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2.深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3.深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4.深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。