分析:Emmenhtal分发SmokeLoader恶意软件
恶意软件介绍
作者:Lovely Antonio, Ricardo Pineda和Louis Sorita
我们观察到针对第一乌克兰国际银行(pumb[.]ua)的恶意活动,并发现使用了一种名为Emmenhtal(注意:此拼写指该加载器的HTA组件,因此拼写略非传统"EmmenHTAl")的隐蔽恶意软件加载器,谷歌也将其称为Peaklight。该加载器自2024年初开始活跃,主要被经济动机的威胁行为者用于分发常见的信息窃取器,如CryptBot和Lumma。在此次活动中,我们观察到Emmenhtal加载器与SmokeLoader恶意软件链式结合,使威胁行为者能够利用其模块化能力动态部署额外恶意软件。
使用Emmenhtal加载器的SmokeLoader感染链
感染链
阶段1:7-Zip投递 感染链始于一封声称确认付款已完成的电子邮件。邮件附件是一个7z压缩文件,欺骗性命名为"Платiжна_iнструкция.7z"(翻译为"付款说明"),诱骗受害者解压并打开其内容。
在之前的SmokeLoader活动中,威胁行为者利用7-Zip零日漏洞,通过双重压缩文件绕过安全检查,实现恶意软件执行。尽管本次活动未使用相同漏洞,但显示攻击者持续使用基于压缩包的规避技术投递恶意载荷。
7-Zip压缩包包含2个文件,显示威胁行为者从现已修复的7z零日漏洞转向其他技术。
阶段2:下载器 解压后,7z压缩包包含两个文件:
- 一个诱饵PDF文件,设计为看似合法的银行文档(如图3.1所示)
- 一个PDF快捷方式,将从远程服务器下载文件(如图3.2所示)
打开时,互联网快捷方式文件尝试从194[.]87[.]31[.]68[:]80\Downloads\Document_main1.pdf.lnk检索额外文件。
诱饵PDF文件显示虚假账户详情以使攻击更具说服力,互联网快捷方式下载额外文件。
阶段3:PowerShell + Mshta下载器 执行下载的.lnk文件时,攻击链利用目标字段通过PowerShell执行Mshta。Mshta(Microsoft HTML应用程序)是内置的Windows工具,用于执行HTML应用程序和脚本(.HTA文件)。在此案例中,恶意软件使用合法的Mshta文件从远程文件服务器下载并执行另一个包含恶意HTA脚本的二进制样本。
这是一种常见的LOLBAS(利用合法二进制文件和脚本)技术,使用目标计算机中存在的实用工具等合法应用程序,实现无文件执行和最小可见性。
值得注意的是,攻击使用了修改版的DCCW.exe,这是一个内置的Windows实用程序,代表显示颜色校准向导。攻击者修改DCCW.exe作为恶意脚本的加载器,使攻击看起来更合法。
恶意.lnk使用PowerShell和Mshta下载恶意可执行文件。
阶段4:Emmenhtal加载器 Emmenhtal加载器在部署SmokeLoader同时保持隐蔽执行流程中起关键作用。HTA脚本使用以下配置运行:
- 应用程序标题:无
- 窗口状态:最小化
- 在任务栏显示:否
从Mshta执行时,它将解释嵌入在第三个DCCW代码下方的第一个恶意JavaScript。
恶意HTA头,从Mshta执行时将解释嵌入在第三个DCCW代码下方的第一个恶意JavaScript。
第一个恶意JavaScript包含eval(erc)执行。Mshta还将解释第二个嵌入的JavaScript,将触发执行第一个JavaScript中隐藏的加载载荷变量。
解码的JavaScript变量(erc)包含另一个charCode编码的文本/脚本,将通过wscript shell执行。解码的脚本导致PowerShell执行另一个编码的PowerShell脚本,具有以下可见的PowerShell命令:
- -w 1:在隐藏窗口中启动PowerShell(1最小化窗口)
- -ep Unrestricted:设置执行策略为无限制,允许所有脚本运行
- -nop:不加载配置文件,减少执行时间并避免检测
编码的PowerShell脚本,编码的PowerShell下载器功能。
Wireshark数据包捕获显示恶意软件尝试连接IP 88[.]151[.]192[.]165。
解码的PowerShell脚本进入下载器功能。它检查用户AppData目录中两个文件invoice1202.pdf和putty1202.exe的存在。如果找到,则执行它们;否则,尝试使用混淆的WebClient对象下载新版本。
随后,我们使用WireShark检查下载器的任何活动。我们注意到此特定案例与Blustealer和Lumma在观察到的活动中有重叠。
下载诱饵PDF和SmokeLoader恶意软件的字符串,最终达到下载两个文件:这两个文件表明存在网络钓鱼或社会工程学组件,使用看似无害的PDF或可执行文件部署额外恶意软件:
- invoce1202.pdf - 诱饵PDF
- putty1202.exe - SmokeLoader恶意软件
阶段5:SmokeLoader 对下载的二进制文件分析(图11、12和13)表明该文件是SmokeLoader恶意软件。除了作为知名加载器外,SmokeLoader还是模块化恶意软件,具有各种能力,如:
- 下载并执行额外恶意软件
- 从浏览器和系统内存窃取凭据
- 从其命令和控制(C2)服务器执行远程命令
- 通过注入自身到合法进程规避检测
- 反分析和反调试技术
解密代码显示SmokeLoader的反分析字符串,PE识别SmokeLoader样本。
在此SmokeLoader样本中观察到一个显著技术是使用.NET Reactor,这是一个用于混淆和打包的商业.NET保护工具。虽然SmokeLoader历史上利用过Themida、Enigma Protector和自定义加密器等打包器,但使用.NET Reactor符合其他恶意软件家族(特别是窃取器和加载器)的趋势,因其强大的反分析机制。
Emmenhtal加载器在恶意软件分发中的未来和普遍性
Emmenhtal加载器是恶意软件开发持续趋势的一部分,利用LOLBAS技术(PowerShell和Mshta),攻击者强烈偏好因其在受害者端点的无文件执行。最初专注于通过整合Cryptbot和Lumma窃取器的信息窃取器,这次最近的SmokeLoader整合使其能够部署次要载荷,同时使用高级规避技术、代码注入和反分析。
通过这些通过恶意软件即服务(MaaS)提供的功能丰富的新加载器的可用性,使威胁行为者在定制攻击链方面更具创造性。
组织应实施:
- 端点安全和防病毒解决方案
- EDR/XDR解决方案
- 网络监控
- 零信任安全
MITRE TTPs:Emmenhtal
- 应用层协议:Web协议 - T1071
- 混淆文件或信息:加密/编码文件 – T1027
- 系统二进制代理执行:Mshta – T1218.005
- 命令和脚本解释器:PowerShell – T1059.001
SmokeLoader
- 隐藏工件:NTFS文件属性 - T1564.004
- 混淆文件或信息:软件打包 – T1045.002
- 进程发现 – T1057
IOCs
| 指标 | 哈希值 | 检测 |
|---|---|---|
| IP/URL 194[.]87[.]31[.]68 | N/A | |
| IP/URL 88[.]151[.]192[.]165 | N/A | |
| 7z压缩包 Платiжна_iнструкция.7z | 3160da060f2392474cceee22eba65eb3ce6f8117e3fd84c606386c92bfc863bb | Archive.Trojan.Agent.KQF7ZV |
| URL快捷方式 Платiжна_iнструкция_UA623348510000000026006245119.url | dd510900d091a35f0ef6d906be087a1ae7969e3d75450cef475e1a032736cc20 | Script.Trojan.Agent.UNV96V |
| LNK Document_main1.pdf.lnk | a1706ec6772daa7a54c67117d5ce7b5fd5285f6245ad08f46b3b4176a7f1e021 | Win32.Trojan.Agent.51JUUW |
| PDF Додаток_ФОП_ПУМБ.pdf | 537aa3ebc2b1cb9d43793e000dd5322ca780c7a274da5f46d5054b09196e2a1a | |
| Invoce1202.pdf | N/A | |
| Emmenhtal main1 | ae64762d044f4b108f2ff820c0744d199c4c33616af17c35c3634aef79c4e3ff | Win32.Trojan.Agent.XZVVJF |
| SmokeLoader putty1202.exe | 4ee62002f89dffa52405df9c082cba4d4dfa7de7a207cb3a3f37be76ca6454c4 | MSIL.Trojan.Agent.HXJKZ7 |
| 加载的二进制文件 | ea3c8dbe0b30fb6d5c68eb55454b2a9471e8e21abb4343306445b4905370f51c | Win32.Trojan-Downloader.SmokeLoader.2Z2GT4 |