AveMaria 传播手段的变化

安全
AveMaria 的运营方一直在积极地维护恶意软件更新,并且利用各种技术保证恶意软件的检测逃避能力。

AveMaria 是一种最早在 2018 年 12 月出现的窃密木马,攻击者越来越喜欢使用其进行攻击,运营方也一直在持续更新和升级。在过去六个月中,研究人员观察到 AveMaria 的传播手段发生了许多变化。

2022 年 12 月攻击行动

研究人员发现了名为 .Vhd(x)的攻击行动,攻击者使用了虚拟硬盘文件格式进行载荷投递。

针对哈萨克斯坦官员的攻击

image.png-259.1kB

攻击链

攻击者冒充俄罗斯政府的名义发送会议通知的钓鱼邮件,带有 .vhdx附件文件。

image.png-191.4kB

恶意邮件

执行附件文件后,会创建一个新的驱动器。其中包含恶意 LNK 文件、诱饵文件与其他相关文件,点击快捷方式后会通过 curl 命令下载其他恶意软件。最终,Payload 执行会使用 AveMaria 来感染失陷主机。

image.png-1186kB

行为流程

另一例攻击

image.png-106.4kB

攻击链

攻击者还使用了另一种变体的攻击链,但由于未能获取到原始的电子邮件,无法准确推断如何投递的载荷。

攻击链中使用的自定义下载器从第三方文件共享网站下载加密文件,在内存中下载并解密后执行,Payload 具有较好的检测逃避性。

image.png-488.5kB

解密逻辑

攻击者自定义了类型转换机制,基于原始数据构建 PE 文件。

image.png-41kB

位操作转换机制

解密文件后会生成没有导出表的 DLL 文件,资源中的加密数据解密后即为 AveMaria 恶意软件。

image.png-714.7kB

解密代码

2022 年 10 月攻击行动

image.png-260kB

攻击链

攻击者利用高度混淆的 AutoIT 脚本来解密内存中的 AveMaria 二进制文件,然后执行 Payload。AutoIT 脚本被嵌入自执行的压缩文件中,其主要组成部分有:

  • Vbscript:执行沙盒与杀软模拟环境检查并向解释器提供 Autoit 脚本
  • AutoIT 解释器:运行脚本
  • AutoIT 脚本:包含高度混淆的 Payload 解密与恶意软件执行逻辑

本次攻击行动中,攻击者邀请收件人为身份不明的投标提交有竞争力的报价,附件为恶意 ZIP 压缩文件。

image.png-175.8kB

恶意邮件

文件解压后会释放恶意文件与诱饵文件,通过 wscript.exe 调用 vbscript 恶意脚本。接着调用解释器执行恶意 AutoIT 脚本,将恶意软件进程注入合法文件中。

image.png-886.1kB

整体流程

2022 年 9 月攻击行动

针对塞尔维亚的攻击

image.png-61.9kB

攻击链

攻击者假冒塞尔维亚政府,督促收信人更新登录凭据来访问政府门户网站。

image.png-753.2kB

恶意邮件

符合条件的塞尔维亚公民与外国公民都可以注册电子身份,通过单点登录访问所有政府相关的门户网站。

image.png-637.2kB

合法网站

恶意软件执行时会在 %userprofile%\document处创建自身的副本,还会通过 PowerShell 命令进一步逃避 Windows Defender 的检测。

image.png-153.6kB

PowerShell 命令

名为 Adobe5151.exe 的恶意软件执行,就会解密最终的 Payload 窃取敏感信息并建立 C&C 信道。

另一例攻击

image.png-232.8kB

攻击链

攻击者模仿了常见的采购订单付款请求,恶意软件伪装成假发-票作为附件发送。

image.png-142.4kB

恶意邮件

释放的 VBScript 脚本,看起来是 PDF 文件后缀并且带有脚本文件图标。

image.png-16.9kB

文件图标

VBScript 脚本也是经过混淆的,执行时下载并执行 PowerShell 脚本。

image.png-1129.5kB

VBScript 脚本流程

下载的文件都是经过 base64 编码的,解码后是实际的恶意载荷。

2022 年 8 月攻击行动

image.png-394.8kB

攻击链

攻击者针对乌克兰官员发起攻击,冒充乌克兰经济政策与战略规划部人士。投递的恶意邮件携带 ISO 附件,其中包含 AveMaria 恶意软件以及三个诱饵文档和四个快捷方式文件。

image.png-430.6kB

恶意邮件

所有的快捷方式文件都使用相同的 PowerShell 命令,在每个驱动器中检索硬编码的文件名。

image.png-144.3kB

LNK 文件

Avemaria 在执行时使用硬编码文件名 images.exe 在 %userprofile%\documents 下创建自身副本,以及在注册表中进行持久化。

image.png-120.3kB

持久化

2022 年 7 月攻击行动

image.png-342.7kB

攻击链

攻击者使用 System Binary Proxy Execution 规避技术执行 Payload,由于未得到恶意邮件,研究人员推测使用 ISO 文件作为附件进行分发。ISO 文件中的 LNK 文件包含 PowerShell 命令与运行时解密的混淆代码。执行 LNK 文件会下载恶意的 HTA 文件,再通过 mshta.exe 来执行。

image.png-635.7kB

快捷方式文件

HTA 文件由 标签下的 VBScript 代码组成,在执行时生成混淆的第三阶段 PowerShell 代码。

image.png-402.5kB

混淆 PowerShell 代码

PowerShell 代码去混淆后,主要包括执行、解码与下载的功能。

image.png-365.1kB

去混淆后代码

总结

AveMaria 的运营方一直在积极地维护恶意软件更新,并且利用各种技术保证恶意软件的检测逃避能力。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-06-16 14:56:09

恶意软件微软网络攻击

2010-09-14 09:04:54

2023-10-30 07:36:19

Spring事务传播机制

2010-10-08 09:52:30

2018-08-30 09:15:42

人工智能神经网络深度学习

2009-08-27 10:22:40

LINQ查询

2011-03-04 12:33:16

2024-03-14 08:17:33

JVMJava对象

2013-06-24 09:37:34

OSPF协议SPF算法路由技术

2014-10-13 10:44:43

PCB布线

2018-10-24 14:59:13

2021-05-10 08:34:47

webpack手段devServer

2016-09-29 08:45:12

vueAPIWeb

2009-09-29 10:40:12

政府应急指挥平台

2009-08-25 10:03:13

2022-03-25 12:22:01

行为风险分析网络攻击恶意软件

2022-10-25 12:09:13

2011-03-07 15:49:08

2009-12-18 16:20:33

Ruby blocks

2009-12-15 10:57:05

点赞
收藏

51CTO技术栈公众号