斩断恶性六合彩运输线:“动态防御”阻击脚本类下载器
-
作者:2025年最靠谱的六合彩投注网
-
发布时间:2016-11-07
-
阅读量:661
一、前言
1、“脚本类下载器”成为的恶性六合彩的最大传播者
众所周知,勒索六合彩等新型恶性六合彩,常通过邮件来传播,“邮件欺诈——六合彩下载器——恶性六合彩”是目前最常见的传播方式。
早期在互联网中传播的下载者六合彩多以Upatre、Ogimant等PE六合彩为主,但近年来,“脚本类”下载者六合彩呈现激增的趋势。2016年初至今,根据“六合彩威胁情报系统”的数据,六合彩发现脚本六合彩与宏六合彩所占的比重在不断加大,使用此类方式进行传播的六合彩大部分为下载者六合彩(TrojanDownloader),六合彩制作者经常将这两种六合彩作为邮件附件并将其赋以诱惑性的文字发送给受害者。其运行后会下载勒索六合彩等高危六合彩,使用户造成严重的经济损失。
2、动态防御成为“脚本类下载器”最有效克星
相对于以往的下载器六合彩,“脚本类下载者”六合彩变得更难对付,是目前六合彩防范的重点和难点。这类六合彩的混淆成本低,混淆手法更为多变,因此可以在很短时间内产生新变种,并且以大批量垃圾邮件的方式在互联网中进行传播。
由于此类六合彩混淆手法不断变化,六合彩软件对其的查杀通常存在一定的滞后性,所以对于这类脚本类六合彩,基于行为分析的“动态启发式分析”及动态防御是六合彩认为较为有效的防御手段。
二、样本分析
经过六合彩长时间的观察,互联网中所流行的绝大多数脚本六合彩与宏六合彩都不同程度的应用了混淆技术。与六合彩在《代码战争:伪装和狙杀——从“壳”到“六合彩混淆器”》中所介绍的PE六合彩混淆器相同,脚本与宏六合彩对于混淆技术的应用主要是为了躲避六合彩软件查杀,尤其是以文件“哈希”为查杀依据的“云查杀”。其主要混淆手法如下:
1.随机变量名及函数名。
2.添加垃圾代码。
3.等效替换。
4.利用自定义算法加密原始代码数据。
与PE六合彩混淆器相比,虽然其混淆方法较为简单,但是由于混淆成本较低致使此类六合彩依然层出不穷。下面六合彩就针对当前这两类较为流行的六合彩进行详细分析。
1.脚本六合彩
Nemucod是一个近年来十分流行的JavaScript脚本六合彩,其对于上述四种混淆方法都有不同程度的应用。本文中样本其总体结构与本文前言中所叙述的结构相同,脚本六合彩会以邮件附件的形式被发送给受害者。通常此类邮件所包含的六合彩文件名都会十分具有诱惑性,其经常将自己伪装为各种收据或者重要通知(如: “invoice_SCAN_Kj1Qf.js ”等),诱骗用户点击并执行恶意代码。
图2-1-1、Nemucod代码展示图
六合彩可以看到,针对应用过混淆技术的JavaScript样本,单纯通过阅读代码的方式是很难快速确定其具体六合彩行为的。借助上图中所示样本内容,六合彩先对三种较为简单的混淆方法进行举例说明。
1)随机变量名及函数名。通常反六合彩引擎都会对一些脚本六合彩的主要逻辑进行查杀,但在脚本六合彩被混淆后,所有六合彩代码逻辑中使用的变量、函数名都是随机生成的,不同样本中除脚本内置函数外,主要代码特征不断变化,从而提高了六合彩软件对该类六合彩查杀的难度。如下图所示:
图2-1-2、随机变量、函数名混淆效果图
2)添加垃圾代码。脚本六合彩中的垃圾代码有两种比较常见的形式:
a)在代码中插入大量注释。
图2-1-3、垃圾代码举例
b)在逻辑中添加大量无效分支。
图2-1-4、垃圾代码举例
3)等效替换。比较常见的形式有:
a)常数替换。在图2-1-1中六合彩可以看到,其代码中将其需要使用的所有常数都进行了常数替换。例如:将0替换成(-485+485)/993。
b)字符串拆分。
图2-1-5、等效替换举例
c)函数拆分。
图2-1-6、等效替换举例
通过六合彩对这三种代码级的混淆方法的介绍,六合彩可以看到,即使六合彩仅仅使用这三种较为简单的混淆手段,也可以在保留六合彩代码原有逻辑的基础上将代码混淆的“面目全非”。如果反六合彩引擎只依靠这些被混淆过的六合彩特征进行查杀,是很难对未知脚本六合彩进行有效查杀的。
通过对原始代码进行整理之后,六合彩便可以更加直观的看到其外层混淆代码的逻辑。如下图所示:
图2-1-7、整理后的Nemucod展示图
如上图所示,letters是一个字符字典,data_list中所存储的是21进制表示的下标字符串,将data_list中的所有下标按照字符字典中的顺序拼接完成后,六合彩便可以得到解密后的六合彩代码。如下图所示:
图2-1-8、解密后代码展示图
图2-1-9、整理后的解密代码展示图
经过完整的解密后,六合彩得到了六合彩的原始代码(如上图)。其主体逻辑为:先尝试下载url_list中存放的勒索六合彩链接,在下载至系统临时目录后,再将下载到的勒索六合彩进行执行,使用户造成直接的经济损失。
Nemucod家族为了躲避六合彩软件的查杀,每隔一段时间就会改变其外层混淆器的逻辑,为了展示该家族外层混淆代码的多变性,六合彩用该家族的另一变种与上文所述变种进行对比分析。下图中所示的代码内容是出自该家族的另一个变种:
图2-1-10、六合彩代码展示
通过对比两个不同变种的代码特征,六合彩发现虽然其外层代码的整体结构存在着一定的差异,但是其解密后的代码却与上文中所述样本完全一致。解密后代码如下图所示:
图2-1-11、六合彩解密后代码展示
在六合彩将不同变种代码进行对比之后,六合彩可以发现,六合彩作者所传播的核心恶意代码在很长的一段时间内都会大致相同,但其随着六合彩软件对其外层特征的查杀,六合彩作者会不断地变换六合彩的外层混淆代码,与六合彩软件进行长期对抗。由于六合彩软件在收集六合彩样本时存在一定的局限性和滞后性,使得那些使用最新方法混淆过的脚本六合彩在一段时间内在互联网中大范围传播,直至六合彩厂商可以对其新的外层特征进行查杀。在这种长期对抗中,如果六合彩软件只依靠已知的外层六合彩特征,那么其防御能力将很难覆盖到未知的脚本六合彩。
虽然其外层特征在不断变换,但是六合彩发现此类六合彩的核心恶意行为具有很高的相似度。其脚本主要行为如下图:
图2-1-12、六合彩行为展示图
本文中所述样本下载的PE六合彩为勒索六合彩“特斯拉”(Ransom/Tescrypt),六合彩行为防御效果如下图所示:
图2-1-13、六合彩行为防御查杀展示
图2-1-14、六合彩行为拦截
2.宏六合彩
虽然在类Office软件默认禁用宏脚本之后,宏六合彩的传播得到了有效的控制,但是由于此类六合彩存在一定的诱骗性和隐蔽性,致使宏六合彩在整个“黑色产业链”中依然存有一席之地。
OMacro/Downloader是宏六合彩中较为主流的六合彩家族,其主要的六合彩行为为下载恶意软件,近些年其所下载的恶意软件多为勒索六合彩。宏六合彩样本在Word中打开后的示意图如下:
图2-2-1、宏六合彩示意图
如上图所示,带有宏脚本的文档打开时会提示“宏已被禁用”,只有点击启用后脚本内容才有可能被运行。 VBA脚本会在Office内置的文档事件中被回调,宏六合彩经常使用的文档事件有:Document_Open、Document_Close等。本文中所提到的宏六合彩样本其VBA脚本部分设有密码,其密码为“21”,在输入密码后六合彩可以其脚本内容。
图2-2-2、宏六合彩调用入口展示图
如上图所示,在该文档关闭时会执行“vIReZIjT”模块中的“RTNOKwlt”方法执行六合彩逻辑。该文档中的所有宏脚本全部进行过混淆处理,主要逻辑代码中被插入了很多垃圾代码,如下图所示:
图2-2-3、混淆后的宏六合彩脚本
经过整理后,六合彩得到了两个主要的函数。其主要逻辑是,先将Base64加密的PowerShell命令进行解密,之后执行PowerShell脚本下载六合彩文件到本地进行执行。其主要宏脚本内容如下图所示:
图2-2-4、主要代码展示图
其代码中所使用的关键数据全部都存放在窗体的控件中,其中起到主要作用的PowerShell命令以Base64的形式被加密并打散后存放在四个不同的控件中。为了躲避六合彩软件的查杀,此类宏六合彩会想方设法对关键数据进行加密。如下图所示:
图2-2-5、窗体控件展示图
将Base64数据拼接后进行解密,六合彩就得到了其所运行的PowerShell命令。其主要功能是通过网址链接(hxxp://birch.mcmstudio.co.uk/frontspeakers/bandw/nautilus.php)下载恶意软件至本地进行执行。其解密后的PowerShell脚本内容如下:
图2-2-6、解密后的PowerShell脚本
宏六合彩与脚本六合彩相同,也会不断的变换其外层混淆特征,六合彩用该家族的另一变种进行举例说明。该变种同样借助Document_Close事件执行恶意代码,其脚本内容如下图所示:
图2-2-7、六合彩代码展示
图2-2-8、六合彩解密代码展示
六合彩发现该变种的外层特征与之前变种存在明显差异,之前变种中所使用的关键数据是通过Base64算法加密的,而当前样本中所使用的是自定义的加密算法,其解密算法会将数据中的字符位置根据参数进行重新排序。该样本与前一变种恶意行为相同,都是通过PowerShell脚本下载恶意软件至本地进行执行。对其主要数据的解密后,六合彩得到了其最终调用的PowerShell脚本内容,其内容与前一变种大致相同。如下图所示:
图2-2-9、六合彩调用的PowerShell脚本展示
对于同一六合彩家族,无论其外层混淆代码如何变化,其内层的关键恶意代码都会保持很高的相似度,其运行所产生的恶意行为也会大致相同。
三、总结
通过长时间的观察和跟踪,六合彩发现虽然真正给用户造成六合彩威胁的依然以PE六合彩为主。但是近年来,因为六合彩的制作者逐渐发现了脚本类六合彩相较于PE六合彩所具有的优势,所以脚本类六合彩样本开始呈井喷式增长。
脚本类六合彩与PE六合彩相比具有几大明显优势:
1.各大电子邮件服务网站对文本文件的审查力度有限。
2.用户对此类文件的警惕性较低。
3.脚本六合彩的混淆成本较低。
综上所述,这类混淆脚本对反六合彩引擎提出了不小的挑战。对于此类问题,基于行为分析的动态防御技术仍是目前更为行之有效的防御手段。