2024-09-23 SNIPBOT RomCom多阶段RAT样本
图片来源:Palo Alto
2024-09-23 Palo Alto Unit42:深入剖析SnipBot:最新RomCom恶意软件变种
此最新版本集成了新型混淆技术,并展现出在先前变种(RomCom 3.0和PEAPOD/RomCom 4.0)中未见的独特感染后活动。
关键要点:
功能特性:SnipBot允许攻击者执行命令并将额外模块下载到受害者系统。它部署一个初始的签名可执行下载器,随后加载未签名的EXE或DLL文件。
感染途径:通过包含重定向至SnipBot下载器链接的电子邮件传递。该下载器使用反沙箱技巧,包括检查文件的原始名称和验证RecentDocs注册表项中至少存在100个条目。同时采用基于窗口消息的控制流混淆技术。
感染后活动:
- 下载额外的DLL有效载荷,通过COM劫持将其注入explorer.exe。具体而言,它将恶意DLL(keyprov.dll)注册为注册表中的缩略图缓存库(HKCU\SOFTWARE\Classes\CLSID)。
- 主要有效载荷single.dll在端口1342上监听命令,包括删除注册表键、执行存储的DLL有效载荷以及启动进一步更新。
- 创建并管理注册表键(HKCU\SOFTWARE\AppDataSoft\Software)以存储加密的有效载荷并跟踪更新。
命令与控制:联系其C2域(例如xeontime[.]com)以下载有效载荷。加密字符串(包括C2域名和API函数名称)以规避检测。
下载
下载。如需密码方案请通过电子邮件联系我。
文件信息
1
2
3
4
5
6
7
8
9
10
|
├── 0be3116a3edc063283f3693591c388eec67801cdd140a90c4270679e01677501 atch scan052224 CV.exe
├── 2c327087b063e89c376fd84d48af7b855e686936765876da2433485d496cb3a4.exe
├── 5390ba094cf556f9d7bbb00f90c9ca9e04044847c3293d6e468cb0aaeb688129 Attachment CV June2024.exe
├── 57e59b156a3ff2a3333075baef684f49c63069d296b3b036ced9ed781fd42312 Attachment Medical report.exe
├── 5b30a5b71ef795e07c91b7a43b3c1113894a82ddffc212a2fa71eebc078f5118 CV for a job.exe
├── 5c71601717bed14da74980ad554ad35d751691b2510653223c699e1f006195b8 Atch Data Breach Evidence.pdf Open with Adobe Acrobat.exe
├── a2f2e88a5e2a3d81f4b130a2f93fb60b3de34550a7332895a084099d99a3d436 atch List of Available Documents.exe
├── b9677c50b20a1ed951962edcb593cce5f1ed9c742bc7bff827a6fc420202b045 webtime-e.exe
├── cfb1e3cc05d575b86db6c85267a52d8f1e6785b106797319a72dd6d19b4dc317.exe
└── f74ebf0506dc3aebc9ba6ca1e7460d9d84543d7dadb5e9912b86b843e8a5b671 резюме.pdf
|
恶意软件存储库链接
在博客运行的过去15年中,由于更严格的无恶意软件政策,许多托管提供商已停止支持。这导致链接失效,尤其是在较旧的帖子中。如果您在contagiodump.blogspot.com(或contagiominidump.blogspot.com)上发现失效链接,只需记下URL中的文件名并在Contagio恶意软件存储库中搜索即可。