背景
近日,山石网科情报中心利用部署在海外的沙箱和威胁探针,捕获到使用NSIS包装器伪装的CrowdStrike升级程序,该程序携带合法的CS升级程序,以及窃取的第三方企业证书进行签名来规避杀软检测。通过样本分析技术关联,发现该工具尚处于开发阶段,且攻击手法和DarkGate家族非常相近。目前攻击收录来源集中在北美地区。
样本简析
捕获到的样本上传源为北美,文件HASH:755C0350038DAEFB29B888B6F8739E81,该样本经过泄露证书进行签名:
母体样本为NSIS打包的程序,解包获得一个nsi脚本,该脚本经过简单膨胀混淆:
母体作用为释放混淆文件集到用户TEMP目录,并进行下一步构造:
母体通过tasklist和findstr枚举进程进行主流杀软规避:
在构造下阶段功能样本时,使用AU3脚本配合前面释放的有微软签名的合法文件RegAsm.exe来白加黑进行下一步操作:
同时,在下阶段样本中,我们看到一个有缺失的驱动文件,\ListOpenedFileDrv_32.sys,该文件似乎还没有完成开发,并且在其他功能组件的分析中,我们同样发现威胁组织尚处于开发阶段:
我们在分析中发现,该样本和历史DarkGate的控制流平坦化技术以及脚本膨胀技术相似,比如NSI中使用类似IfFileExists ReducingAffect label和组件的控制模块:
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
