Earth Preta 混合合法与恶意组件规避检测
Trend Micro 威胁狩猎团队的研究人员发现,Earth Preta(也称为 Mustang Panda)使用 Microsoft Application Virtualization Injector(MAVInject)将有效载荷注入 waitfor.exe,当检测到 ESET 防病毒应用程序运行时即触发。该组织利用 Setup Factory 投放并执行有效载荷,以实现持久性并规避检测。
攻击链分析
在 Earth Preta 的攻击链中,首个恶意文件 IRSetup.exe 用于将多个文件投放到 ProgramData/session 目录(图 1)。这些文件包括合法可执行文件和恶意组件的组合(图 2)。
图 1. Earth Preta 的攻击链
图 2. IRSetup.exe 投放的文件
同时执行针对泰国用户的诱饵 PDF,可能在后台部署恶意有效载荷时分散受害者注意力(图 3)。该欺诈文档要求读者合作创建电话号码白名单,以支持所谓的多政府机构反犯罪平台项目。
图 3. 诱饵 PDF(左)及翻译文本(右)
投放器恶意软件随后执行 OriginLegacyCLI.exe(一个合法的 Electronic Arts 应用程序),以旁加载 EACore.dll——Earth Preta 使用的 TONESHELL 后门的修改变种(图 4)。
图 4. 加载恶意 DLL
TONESHELL 后门——EACore.dll
EACore.dll 包含多个导出函数(图 5),但所有函数均指向同一恶意函数。
图 5. EACore.dll 的导出函数
其中一个函数检查机器上是否运行了 ekrn.exe 或 egui.exe(均与 ESET 防病毒应用程序相关)(图 6)。如果检测到任一进程,恶意软件使用 regsvr32.exe 注册 EACore.dll 以执行 DLLRegisterServer 函数(图 7)。
图 6. 检查 ESET 进程
图 7. 通过 regsvr32.exe 运行
DLLRegisterServer 导出随后执行 waitfor.exe。MAVInject.exe(能够通过注入到运行进程来代理执行恶意代码)用于通过以下命令将恶意代码注入其中(图 8):
|
|
Earth Preta 可能在测试攻击执行时,在使用了 ESET 软件的机器上使用了 MAVInject.exe。
图 8. 用于将恶意代码注入 waitfor.exe 的函数
异常处理程序
恶意软件还实现了一个异常处理程序(图 9),当未找到 ESET 应用程序时激活,允许其继续执行有效载荷。它不使用 MAVInject.exe 注入恶意代码,而是直接使用 WriteProcessMemory 和 CreateRemoteThreadEx API 将代码注入 waitfor.exe(图 10)。
图 9. 设置结构化异常处理程序
图 10. 代码注入函数(上)及 waitfor.exe 中的注入代码(下)
C&C 通信
恶意软件解密存储在 .data 节中的 shellcode(图 11),其中包含与其 C&C 服务器 www.militarytc.com:443 通信的函数(图 12)。
图 11. 包含 shellcode 解密的函数
图 12. 与 C&C 服务器通信的函数
恶意软件通过 ws2_32.send API 调用与命令与控制(C&C)服务器通信。它生成随机标识符,收集计算机名称,并将此信息发送到 C&C 服务器。C&C 协议与其先前变种类似,但此变种涉及一些微小更改。例如,生成的受害者 ID 现在存储到 current_directory\CompressShaders 以实现持久性。握手数据包也略有不同,如表 1 所示。
| 偏移量 | 大小 | 名称 | 描述 |
|---|---|---|---|
| 0x0 | 0x3 | magic | 17 03 03 |
| 0x3 | 0x2 | size | 有效载荷大小 |
| 0x5 | 0x100 | key | 有效载荷加密密钥 |
| 0x105 | 0x10 | victim_id | 唯一受害者 ID(由 CoCreateGuid 生成) |
| 0x115 | 0x1 | reserved | |
| 0x116 | 0x4 | hostname_length | 主机名长度 |
| 0x11A | hostname_length | hostname | 主机名 |
表 1. 发送数据的内容
命令代码也略有不同。在此变种中,所有调试字符串均被移除。它支持命令代码 4 到 19,并具有以下功能:
- 反向 shell
- 删除文件
- 移动文件
图 13. 发送到 C&C 服务器的信息
Earth Preta 归因
对于归因,我们认为此变种更可能与 Earth Preta 相关。它使用类似的 TTP(鱼叉式网络钓鱼)进行分发,并且与我们先前关于 Earth Preta 的条目中提到的早期变种类似。它使用 CoCreateGuid 生成唯一受害者 ID,并存储在一个独立文件中——这是早期变种中未观察到的行为。此外,同一 C&C 服务器与另一个归因于 Earth Preta 的样本相关联,共享的 CyberChef 公式仍成功解密发送的数据包。基于这些因素,我们以中等置信度将此变种归因于 Earth Preta。
结论
Trend Micro 威胁狩猎团队的最新发现突出了 Earth Preta 用于入侵系统和规避安全措施的复杂方法。通过利用 MAVInject.exe 将恶意有效载荷注入 waitfor.exe,并使用 Setup Factory 投放和执行这些有效载荷,Earth Preta 有效地保持了其在受感染系统上的持久性。其攻击链展示了该组织在开发和改进规避技术方面的高级专业水平,使用合法应用程序(如 Setup Factory 和 OriginLegacyCLI.exe)进一步复杂化了检测工作。组织应警惕增强监控能力,专注于识别合法进程和可执行文件中的异常活动,以领先于 Earth Preta 等 APT 组织不断演变的策略。