被称为 ‘SFG’的恶意软件已经感染至少一个欧洲能源公司,并正在西欧国家呈蔓延趋势。
该基于windows的恶意软件可以“查杀”反病毒进程,直到它可以安全运行。同时,加密了关键功能的代码,以至于它很那被发现和分析。它还有“抗虚拟执行”功能,在沙盒环境中,它不会执行。
该恶意软件支持对人脸识别、 指纹扫描仪和其他先进的生物识别访问,并获取系统控制权限。
SFG主要利用的漏洞包括:CVE-2014-4113 和 CVE-2015-1701,支持提权。
一旦它已获得了一台计算机的管理控制权,恶意软件调查已连接的网络,向其运营者报告,受感染的网络信息,以等待进一步的指令,给有针对性的工业控制系统安装后门。
后门程序可以在系统上安装其他恶意软件、提取数据或可能关闭能源网络(电网?)。
SFG是5月被曝光的Furtim的改进版。代码通过很多间接调用 (e.g. CALL EAX)为静态分析制造困难。
使用 RC4 加密.data 区域。加密区域包含三个blob:有效的payload(一个windows本地API应用)、带有 UAC 旁路的DLL、针对CVE-2014-4113 开发的64 位可执行文件。
RC4 密码”dqrChZonUF”,而RC4 执行看起来像在 FreeBSD 和 XNU 内核中找到的代码的直接复制。
Payload、UAC旁路的DLL和针对CVE-2014-4113的blob,被Caleb Fenton验证是aPLib压缩的流格式。
恶意代码中还包含一个主机名的黑名单。调用 GetComputerNameW() 结果如果被发现在黑名单中,在进程终止。
brbrb-d8fb22af1
jonathan-c561e0
avreview1-VMXP
vwinxp-maltest
avreview-VMSunbox
infected-system
为啥呢?这些都是常见的是沙箱和蜜罐主机名。
Z:\VxStream
malware.exe
\virus\
admin\downloads\samp1e_
sample_execution
mlwr_smpl.exe
C:\xxx\sample.exe
C:\sample.exe
C:\Shared\dum._vxe
C:\SniferFiles\sample.exe
C:\virus\virus.exe
C:\virus.exe
c:\sampel.exe
C:\setup.exe
C:\runme.exe
c:\VMRun\Zample.exe
c:\FILE.EXE
C:\run\temp.exe
c:\taskrun\samples\rtktst.exe.exe
c:\artifact.exe
C:\manual\sunbox.exe
C:\1.exe
QEMU_
VMware
Ven_Red_Hat&Prod_VirtIO
DiskVBOX
DiskVirtual
C:\Program Files\VMware\VMware Tools
C:\Program Files (x86)\VMware\VMware Tools
\Registry\Machine\HARDWARE\ACPI\DSDT\VBOX__\VBOXBIOS
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\ACPI\Hyper_V_Gen_Counter_V1
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\ACPI\XEN0000
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\XENBUS\CLASS_VBD&REV_02
\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Iris Network Traffic Analyzer
\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\InstallWatch Pro 2.5
\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SysAnalyzer_is1
\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{13BE68B1-7498-48AB-9D22-AD3AB6532531}API Monitor v2 Alpha
\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_80EE&DEV_BEEF&SUBSYS_00000000&REV_00VirtualBox Graphics Device Drivers
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_80EE&DEV_CAFE&SUBSYS_00000000&REV_00VirtualBox Guest Service Device Drivers
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_5333&DEV_8811&SUBSYS_00000000&REV_00S3 Video Card (used by virtual machines)
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1AB8&DEV_4005&SUBSYS_04001AB8&REV_00Parallels Display WDDM Device Drivers
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1AB8&DEV_4000&SUBSYS_04001AB8&REV_00Parallels Tool Device Drivers
\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1AB8&DEV_4006&SUBSYS_04061AB8&REV_00Parallels Memory Controller
\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{25AD16E5-F48B-4455-83D7-849D600475A4}Winalysis WindowexeAllkiller ?
\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Iris Network Traffic Analyzer
\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SysAnalyzer_is1
\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\InstallWatch Pro 2.5
\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall{13BE68B1-7498-48AB-9D22-AD3AB6532531}API Monitor v2 Alpha
\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall{25AD16E5-F48B-4455-83D7-849D600475A4}Winalysis WindowexeAllkiller ?
... ...还有很多呢
这些特征字符串和文件名也在它的“勘察”范围之内,这都是沙箱和虚拟机常用的。例如:出现Z:\VxStream,可以怀疑这是个VxStream Sandbox。
CPUID也有用。例如:如果 CPU 应该有超过 1 的核心,但操作系统只报告 1 的核心,它很可能在虚拟机中运行。
调用 RtlGetNativeSystemInformation (SystemBasicInformation,…),填补结构 SYSTEM\_BASIC\_INFORMATION ,检查字段 \_SYSTEM\_BASIC\_INFORMATION。NumberOfProcessors,如果值是 1,CPU 产品品牌字符串报告应该有多个核心,终止该进程。
》。。。。 还有很多,今天太晚了,先不写了。明天有兄弟继续...
另外值得提的还有:
这家伙会自己算自己的MD5, SHA-1, 和 SHA-256.如果计算结果出现在本地硬盘的文件中,不用说,这也是个沙箱。
通过HTTP与C&C通信。