事件描述
近日,亚信安全截获EHSTOR新型木马文件,该木马会对俄语、乌克兰语、白俄罗斯语、亚美尼亚语、哈萨克语、罗马尼亚语等语言地区设置白名单,根据加白的语种推测,该病*作者为上述提及语言国家或者地区人员。通过对文件进行深入分析,我们发现病*通过进程注入的方式将自身注入至Windows增强存储的密码验证程序EhStorAuthn,执行其恶意功能,窃取系统相关信息并上传至恶意站点,通过恶意站点接收数据。亚信安全将该病*命名为:Trojan.Win32.EHSTOR.A。
攻击流程
亚信安全产品解决方案
亚信安全病*码版本6..60,云病*码版本6..71,全球码版本6..00已经可以检测,请用户及时升级病*码版本
亚信安全DDAn沙盒平台已经可以检测
安全建议
打开系统自动更新,并检测更新进行安装
不要点击来源不明的邮件以及附件
不要点击来源不明的邮件中包含的链接
请到正规网站或者应用商店下载程序
采用高强度的密码,避免使用弱口令密码,并定期更换密码
尽量关闭不必要的端口
尽量关闭不必要的网络共享
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储
病*详细分析
查看程序的导入函数及字符串,未发现有用信息,后续确认其通过动态解密字符串的方式获取API及所需字符串。
该样本首先会休眠5秒,延长调用,尝试躲避沙盒检测。随后尝试创建does_not_exist.exe进程,若创建不成功,则继续执行后续代码,创建成功即退出,does_not_exist.exe为程序的标识文件。
通过调用Sub_F5B对字符串执行解密操作。
添加如下三个判定条件:
调用ZwQueryInformationProcess反调试,检测是否存在调试器。
调用ZwQueryDefaultLocale查询本地语言信息,与给定的俄语、乌克兰语、白俄罗斯语、亚美尼亚语、哈萨克语、罗马尼亚语-摩尔多瓦、俄语-摩尔多瓦编号作比对,检查语言是否匹配。
打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\disk\Enum\0注册表,获取其中的数据。解密字符串与获取的注册表数据比对,检测是否存在虚拟机。
当匹配上述判定条件时,执行下面的操作:
在%AppData%/Roaming目录下创建del.bat文件,将给定的指令写入至文件中。
该bat文件主要功能为等待3秒,删除病*样本及当前bat文件。
随后执行del.bat,程序退出。
当三个判定条件均不匹配时,则执行如下操作:
获取特殊路径%appdata%\Local及用户名,与给定的字符串进行拼接,拼接后字符串路径如下:
获取上述路径文件属性,当获取不到文件时,则跳转至文件创建操作。
文件创建
在%appdata%\Local目录下创建z_user文件夹并将其设置为隐藏属性。
将ntdll.dll复制到%appdata%\Local目录下重命名为wallpaper.mp4。
将样本文件复制到startup目录下以5位随机数命名。
在z_user目录下生成user.vbs文件,向其中写入数据。
其功能为执行同目录下的user.bat文件。
在z_user下创建user.bat文件,向其中写入数据。
其功能为检测进程列表中是否存在EhStorAuthn.exe进程,若存在则退出,不存在则执行病*程序。
随后通过ShellExecuteWAPI重新执行病*程序。
解密相关API并获取API地址。
获取当前进程文件路径并设置文件为隐藏属性。随后查找路径中是否包含EhStorAuthn字符串。
若不包含EhStorAuthn字符串,则执行如下操作:
使用进程注入方式注入至EhStorAuthn.exe。
以线程挂起的方式创建EhStorAuthn.exe进程。
调用ZwAllocateVirtualMemory申请虚拟内存空间。
将自身代码写入。
随后调用ZwQueueApcThread将代码附加到APC队列执行注入操作,随后恢复挂起的线程。
找到进程替换后的入口点,继续执行后续操作。
创建互斥体saint_NewGeneration。
获取对应用户名的SID标识及域账户名称。
将user.vbs加入至开机自启动项。
提升当前进程权限。
调用ShellExecuteW函数创建计划任务执行生成的vbs文件。
解密出网络相关的API。
解密cookie。
获取计算机相关信息,包括当前进程优先级、当前显示设备名称、内存大小、处理器名称、磁盘数、操作系统位数、操作系统语言、操作系统名称、磁盘序列号和用户名。
使用___将所获取的信息进行拼接。
-___username___Windows7Professional___CN___x64___1___Intel(R)Core(TM)i5-CPU
3.20GHz___2___VMwareSVGA3D___High对上述字符串加密,加密后转换为BASE64编码。
调用网络API连接main21.xyz,由于该域名已无法访问,目前无法进一步分析后续接收的数据。
后续读取站点传输的数据。
当访问失败,会继续访问main21.space。该站点目前可以访问,但其目前返回状态,所以无法切换main21.site站点。修改其判定条件后将域名更换为main21.site,继续跟进后续操作,数据读取依然失败。
IOC:
SHA1
7e77bdaadc31de91ed
行业热点:威胁直击全球最大肉食品加工商JBS遭黑客攻击威胁直击
NGINXDNS解析程序存高危漏洞威胁直击
VMwarevCenterServer发现远程代码执行漏洞提供共享免疫和威胁狩猎服务,亚信安全助力勘察设计行业化解高级风险
了解亚信安全,