威胁欧洲能源公司的恶意代码SFG简介及抗虚拟执行技术分析【转】

被称为 ‘SFG’的恶意软件已经感染至少一个欧洲能源公司,并正在西欧国家呈蔓延趋势。

 

该基于windows的恶意软件可以“查杀”反病毒进程,直到它可以安全运行。同时,加密了关键功能的代码,以至于它很那被发现和分析。它还有“抗虚拟执行”功能,在沙盒环境中,它不会执行。

 

该恶意软件支持对人脸识别、 指纹扫描仪和其他先进的生物识别访问,并获取系统控制权限。

 

SFG主要利用的漏洞包括:CVE-2014-4113 和 CVE-2015-1701,支持提权。

 

一旦它已获得了一台计算机的管理控制权,恶意软件调查已连接的网络,向其运营者报告,受感染的网络信息,以等待进一步的指令,给有针对性的工业控制系统安装后门。

 

后门程序可以在系统上安装其他恶意软件、提取数据或可能关闭能源网络(电网?)。

 

SFG是5月被曝光的Furtim的改进版。代码通过很多间接调用 (e.g. CALL EAX)为静态分析制造困难。

 

使用 RC4 加密.data 区域。加密区域包含三个blob:有效的payload(一个windows本地API应用)、带有 UAC 旁路的DLL、针对CVE-2014-4113 开发的64 位可执行文件。

 

RC4 密码”dqrChZonUF”,而RC4 执行看起来像在 FreeBSD 和 XNU 内核中找到的代码的直接复制。

Payload、UAC旁路的DLL和针对CVE-2014-4113的blob,被Caleb Fenton验证是aPLib压缩的流格式。

恶意代码中还包含一个主机名的黑名单。调用 GetComputerNameW() 结果如果被发现在黑名单中,在进程终止。

 

brbrb-d8fb22af1

jonathan-c561e0

avreview1-VMXP

vwinxp-maltest

avreview-VMSunbox

infected-system

 

为啥呢?这些都是常见的是沙箱和蜜罐主机名。

 

Z:\VxStream

malware.exe

\virus\

admin\downloads\samp1e_

sample_execution

mlwr_smpl.exe

C:\xxx\sample.exe

C:\sample.exe

C:\Shared\dum._vxe

C:\SniferFiles\sample.exe

C:\virus\virus.exe

C:\virus.exe

c:\sampel.exe

C:\setup.exe

C:\runme.exe

c:\VMRun\Zample.exe

c:\FILE.EXE

C:\run\temp.exe

c:\taskrun\samples\rtktst.exe.exe

c:\artifact.exe

C:\manual\sunbox.exe

C:\1.exe

QEMU_

VMware

Ven_Red_Hat&Prod_VirtIO

DiskVBOX

DiskVirtual

C:\Program Files\VMware\VMware Tools

C:\Program Files (x86)\VMware\VMware Tools

\Registry\Machine\HARDWARE\ACPI\DSDT\VBOX__\VBOXBIOS

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\ACPI\Hyper_V_Gen_Counter_V1

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\ACPI\XEN0000

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\XENBUS\CLASS_VBD&REV_02

\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Iris Network Traffic Analyzer

\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\InstallWatch Pro 2.5

\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SysAnalyzer_is1

\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{13BE68B1-7498-48AB-9D22-AD3AB6532531}API Monitor v2 Alpha

\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions

\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_80EE&DEV_BEEF&SUBSYS_00000000&REV_00VirtualBox Graphics Device Drivers

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_80EE&DEV_CAFE&SUBSYS_00000000&REV_00VirtualBox Guest Service Device Drivers

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_5333&DEV_8811&SUBSYS_00000000&REV_00S3 Video Card (used by virtual machines)

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1AB8&DEV_4005&SUBSYS_04001AB8&REV_00Parallels Display WDDM Device Drivers

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1AB8&DEV_4000&SUBSYS_04001AB8&REV_00Parallels Tool Device Drivers

\Registry\Machine\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1AB8&DEV_4006&SUBSYS_04061AB8&REV_00Parallels Memory Controller

\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{25AD16E5-F48B-4455-83D7-849D600475A4}Winalysis WindowexeAllkiller ?

\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Iris Network Traffic Analyzer

\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SysAnalyzer_is1

\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\InstallWatch Pro 2.5

\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall{13BE68B1-7498-48AB-9D22-AD3AB6532531}API Monitor v2 Alpha

\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall{25AD16E5-F48B-4455-83D7-849D600475A4}Winalysis WindowexeAllkiller ?

... ...还有很多呢

 

这些特征字符串和文件名也在它的“勘察”范围之内,这都是沙箱和虚拟机常用的。例如:出现Z:\VxStream,可以怀疑这是个VxStream Sandbox。

 

CPUID也有用。例如:如果 CPU 应该有超过 1 的核心,但操作系统只报告 1 的核心,它很可能在虚拟机中运行。

 

调用 RtlGetNativeSystemInformation (SystemBasicInformation,…),填补结构 SYSTEM\_BASIC\_INFORMATION ,检查字段 \_SYSTEM\_BASIC\_INFORMATION。NumberOfProcessors,如果值是 1,CPU 产品品牌字符串报告应该有多个核心,终止该进程。

 

》。。。。 还有很多,今天太晚了,先不写了。明天有兄弟继续...

 

另外值得提的还有:

 

这家伙会自己算自己的MD5, SHA-1, 和 SHA-256.如果计算结果出现在本地硬盘的文件中,不用说,这也是个沙箱。

通过HTTP与C&C通信。

此条目发表在攻击经验, 未分类分类目录。将固定链接加入收藏夹。