威胁欧洲能源公司的恶意代码SFG简介及抗虚拟执行技术分析

malwarebenchmark 浏览次数: 2016-12-02 07:24

被称为'SFG'的恶意软件已经感染至少一个欧洲能源公司,并正在西欧国家呈蔓延趋势。该基于windows的恶意软件可以“查杀”反病毒进程,直到它可以安全运行'...

  被称为'SFG'的恶意软件已经感染至少一个欧洲能源公司,并正在西欧国家呈蔓延趋势。

  该基于windows的恶意软件可以“查杀”反病毒进程,直到它可以安全运行。同时,加密了关键功能的代码,以至于它很那被发现和分析。它还有“抗虚拟执行”功能,在沙盒环境中,它不会执行。

  该恶意软件支持对人脸识别、指纹扫描仪和其他先进的生物识别访问,并获取系统控制权限。

  SFG主要利用的漏洞包括:CVE-2014-4113 和 CVE-2015-1701,支持提权。

  一旦它已获得了一台计算机的管理控制权,恶意软件调查已连接的网络,向其运营者报告,受感染的网络信息,以等待进一步的指令,给有针对性的工业控制系统安装后门。

  后门程序可以在系统上安装其他恶意软件、提取数据或可能关闭能源网络(电网?)。

  SFG是5月被曝光的Furtim的改进版。代码通过很多间接调用 (e.g. CALL EAX)为静态分析制造困难。

  使用RC4 加密.data 区域。加密区域包含三个blob:有效的payload(一个windows本地API应用)、带有 UAC 旁路的DLL、针对CVE-2014-4113 开发的64 位可执行文件。

  RC4 密码"dqrChZonUF",而RC4 执行看起来像在 FreeBSD 和 XNU 内核中找到的代码的直接复制。

  

  Payload、UAC旁路的DLL和针对CVE-2014-4113的blob,被Caleb Fenton验证是aPLib压缩的流格式。

  

  恶意代码中还包含一个主机名的黑名单。调用GetComputerNameW() 结果如果被发现在黑名单中,在进程终止。

  brbrb-d8fb22af1

  jonathan-c561e0

  avreview1-VMXP

  vwinxp-maltest

  avreview-VMSunbox

  infected-system

  为啥呢?这些都是常见的是沙箱和蜜罐主机名。

  Z:VxStream

  malware.exe

  virus

  admindownloadssamp1e_

  sample_execution

  mlwr_smpl.exe

  C:xxxsample.exe

  C:sample.exe

  C:Shareddum._vxe

  C:SniferFilessample.exe

  C:virusvirus.exe

  C:virus.exe

  c:sampel.exe

  C:setup.exe

  C:runme.exe

  c:VMRunZample.exe

  c:FILE.EXE

  C:runtemp.exe

  c:taskrunsamplesrtktst.exe.exe

  c:artifact.exe

  C:manualsunbox.exe

  C:1.exe

  QEMU_

  VMware

  Ven_Red_Hat&Prod_VirtIO

  DiskVBOX

  DiskVirtual

  C:Program FilesVMwareVMware Tools

  C:Program Files (x86)VMwareVMware Tools

  RegistryMachineHARDWAREACPIDSDTVBOX__VBOXBIOS

  RegistryMachineSYSTEMCurrentControlSetEnumACPIHyper_V_Gen_Counter_V1

  RegistryMachineSYSTEMCurrentControlSetEnumACPIXEN0000

  RegistryMachineSYSTEMCurrentControlSetEnumXENBUSCLASS_VBD&REV_02

  RegistryMachineSOFTWAREMicrosoftWindowsCurrentVersionUninstallIris Network Traffic Analyzer

  RegistryMachineSOFTWAREMicrosoftWindowsCurrentVersionUninstallInstallWatch Pro 2.5

  RegistryMachineSOFTWAREMicrosoftWindowsCurrentVersionUninstallSysAnalyzer_is1

  RegistryMachineSOFTWAREMicrosoftWindowsCurrentVersionUninstall{13BE68B1-7498-48AB-9D22-AD3AB6532531}API Monitor v2 Alpha

  RegistryMachineSOFTWAREMicrosoftWindowsCurrentVersionUninstallOracle VM VirtualBox Guest Additions

  RegistryMachineSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstallOracle VM VirtualBox Guest Additions

  RegistryMachineSYSTEMCurrentControlSetEnumPCIVEN_80EE&DEV_BEEF&SUBSYS_00000000&REV_00VirtualBox Graphics Device Drivers

  RegistryMachineSYSTEMCurrentControlSetEnumPCIVEN_80EE&DEV_CAFE&SUBSYS_00000000&REV_00VirtualBox Guest Service Device Drivers

  RegistryMachineSYSTEMCurrentControlSetEnumPCIVEN_5333&DEV_8811&SUBSYS_00000000&REV_00S3 Video Card (used by virtual machines)

  RegistryMachineSYSTEMCurrentControlSetEnumPCIVEN_1AB8&DEV_4005&SUBSYS_04001AB8&REV_00Parallels Display WDDM Device Drivers

  RegistryMachineSYSTEMCurrentControlSetEnumPCIVEN_1AB8&DEV_4000&SUBSYS_04001AB8&REV_00Parallels Tool Device Drivers

  RegistryMachineSYSTEMCurrentControlSetEnumPCIVEN_1AB8&DEV_4006&SUBSYS_04061AB8&REV_00Parallels Memory Controller

  RegistryMachineSOFTWAREMicrosoftWindowsCurrentVersionUninstall{25AD16E5-F48B-4455-83D7-849D600475A4}Winalysis WindowexeAllkiller ?

  RegistryMachineSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstallIris Network Traffic Analyzer

  RegistryMachineSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstallSysAnalyzer_is1

  RegistryMachineSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstallInstallWatch Pro 2.5

  RegistryMachineSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstall{13BE68B1-7498-48AB-9D22-AD3AB6532531}API Monitor v2 Alpha

  RegistryMachineSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstall{25AD16E5-F48B-4455-83D7-849D600475A4}Winalysis WindowexeAllkiller ?

  ... ...还有很多呢

  这些特征字符串和文件名也在它的“勘察”范围之内,这都是沙箱和虚拟机常用的。例如:出现Z:VxStream,可以怀疑这是个VxStream Sandbox。

  CPUID也有用。例如:如果 CPU 应该有超过 1 的核心,但操作系统只报告 1 的核心,它很可能在虚拟机中运行。

  调用RtlGetNativeSystemInformation (SystemBasicInformation,...),填补结构 SYSTEM_BASIC_INFORMATION ,检查字段 _SYSTEM_BASIC_INFORMATION。NumberOfProcessors,如果值是 1,CPU 产品品牌字符串报告应该有多个核心,终止该进程。

  》。。。。 还有很多,今天太晚了,先不写了。明天有兄弟继续...

  另外值得提的还有:

  这家伙会自己算自己的MD5, SHA-1, 和 SHA-256.如果计算结果出现在本地硬盘的文件中,不用说,这也是个沙箱。

  

  通过HTTP与C&C通信。

  

网友点评
猜你喜欢