前言

攻擊者越來越多的采用云來構建自己的基礎設施，這樣不僅能夠使攻擊者以最少的時間或金錢部署攻擊基礎設施，也能讓追蹤攻擊行動變得更困難。

從 2021 年 10 月 26 日開始，研究人員發現多個遠控木馬開始通過云服務進行投遞傳播。

感染鏈從帶有惡意 ZIP 附件的釣魚郵件開始，ZIP 文件中包含一個帶有惡意程序的 ISO 鏡像文件。惡意程序的多種多樣，如 JavaScript、Windows 批處理文件或 Visual Basic 腳本。腳本執行后，會通過下載服務器下載下一階段的攻擊載荷，攻擊者將下載服務器部署在基于 Azure 的 Windows 服務器或基于 AWS 的 EC2 實例上。

攻擊者使用的遠控木馬是 Netwire、Nanocore 和 AsyncRAT，并且利用免費動態 DNS 服務 DuckDNS 注冊了多個惡意域名。

攻擊載荷

Nanocore

Nanocore 通常是 32 位 .NET 可執行文件，在 2013 年被首次發現，后來被各種攻擊者廣泛使用。

從發現的 Nanocore 樣本中提取配置信息后，可以確認攻擊者使用的是 1.2.2.0 版本（已泄露版本）的 Nanocore。樣本的構建日期為 2021 年 10 月 26 日，使用的 C&C 服務器為 mback5338.duckdns.org。

Nanocore 配置文件

后續發現的 Nanocore 樣本也會使用其他不同的 C&C 服務器和端口號：

nanoboss.duckdns.org

justinalwhitedd554.duckdns.org

樣本中攜帶的是 Client 插件和 SurveillanceEx 插件，前者用于處理與 C&C 服務器的通信，后者用于提供對音視頻的捕獲和遠程桌面。

Netwire

Netwire 通常會竊取受害者的密碼、登錄憑據和信用卡數據等隱私信息，同時兼具命令執行和竊取文件的功能。

通過寫入注冊表進行持久化：

HKEY_CURRENT_USER\Software\NETwIRe\HostId

HKEY_CURRENT_USER\Software\NETwIRe\Install Date

HKEY_CURRENT_USER\SOfttware\Microsoft\WIndows\CurrentVersion\Run\SysWOW32

AsyncRAT

AsyncRAT 通常會通過加密鏈接遠程監控和控制計算機，攻擊者還可以通過 AsyncRAT 對失陷主機進行擊鍵記錄、屏幕錄像等操作。

AsyncRAT 創建互斥體 AsyncMutex_6SI8OkPnk作為失陷主機的感染標記。

AsyncRAT 互斥量

從 AsyncRAT 配置文件提取相關信息，C&C 域名是 asyncmoney.duckdns.org，使用的端口有 7829、7840、7841 和 7842。

AsyncRAT 連接 C&C 服務器

感染鏈

感染鏈起始的附件是一個 ISO 鏡像文件，其中包含惡意的加載程序。如下所示，攻擊者利用發-票文件來引誘用戶點擊打開：

釣魚郵件示例

ZIP 文件的起始字符是隨機生成的，可能與特定的攻擊行動有關。發現的一些文件名如下所示：

WROOT_Invoice_Copy.zip

YUEOP_Invoice_Copy.zip

HOO8M_Invoice_Copy.zip

TROOS_Invoice_Copy.zip

TBROO1_Invoice_Copy.zip

JavaScript Downloader

JavaScript Downloader 是一個有著四層混淆的腳本。

第一層

第一層去混淆由 ejv()完成，該函數將混淆數據的每個字符保存在數組中，執行算術運算進行解密。

解密函數

緊接著繼續解密：

解密函數

第二層

其余加密內容在第二層進行解密，將 ejv()解密的結果傳遞給解密函數。

去混淆的結果包含另一個解密函數 Ox$()，這是第三層解密函數。

解密函數

第三層

第三層去混淆的結果是另一個混淆函數，包含多個函數調用來進行解密：

部分混淆惡意代碼

在分析另一個發現的 JavaScript 腳本時，與首次發現的不相同。這說明代碼有可能是自動生成和隨機化的，攻擊者想通過高度混淆使檢測變得更困難。

部分混淆惡意代碼

第四層

第四層是最后一層，在去混淆后可以發現這些代碼不僅僅是一個 Downloader，還具有其他功能。例如：

• 通過 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run進行持久化
• 通過 schtasks.exe配置計劃任務

計劃任務命令

• 通過 http://gg1592661.duckdns.org:7924/vre下載攻擊載荷。下載的是 Netwire、Nanocore 和 AsyncRAT 的變種，保存在臨時文件夾并執行。
• 嘗試通過 Alternate Data Stream隱藏下載來源
• 通過 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId收集設備信息

通過遙測數據，除了 JavaScript 還發現了 Batch 和 VBScript 的腳本。

Batch Downloader

腳本中包含一個混淆命令，用以執行 PowerShell 下載攻擊載荷，本例中通過 Azure Cloud 上的服務器 13.78.209.105進行下載。

Batch Downloader 示例

VBS Downloader

腳本通過 PowerShell 命令連接到服務器，服務器部署在 AWS EC2 上的 52.27.15.250。

VBScript Downloader 示例

PowerShell Dropper

在 Azure 的服務器上發現了一個使用 HCrypt 構建的 PowerShell 腳本。該腳本會在失陷主機上下載并運行 AsyncRAT 的變種，類似的程序也被趨勢科技的研究人員在名為 Water Basilisk的攻擊中發現。

PowerShell Droper 示例

去混淆后的數據就是二進制文件本身。這個包含 Payload 的字符串，連同一個包含注入 .NET 程序 DLL 模塊的字符串，一同被傳遞給函數 H2 轉換為二進制字節數組。

去混淆注入

這個數組將會被加載注入：

去混淆 PowerShell 命令

腳本會嘗試啟動進程 aspnet_compiler.exe并注入 Payload 執行。樣本連接的 C&C 服務器是 yuri101.duckdns.org，部署在 64.188.16.134。

PowerShell 感染鏈

攻擊基礎設施

攻擊者維護了一個分布式攻擊基礎設施，包括下載服務器、C&C 服務器和惡意域名，下載服務器利用 Microsoft Azure 或 AWS 的云服務。

利用的 Azure 云服務包括：

• 13.78.209.105 在美國西部區域，FQDN 名稱為 GOOGLE
• 23.102.1.5 在北歐區域，并啟用了 SMB 身份驗證
• 40.85.140.7 在北歐區域
• 52.150.26.35 在美國東部區域，FQDN 為 spinxamp
• 13.82.65.56 在美國東部區域
• 137.135.65.29 在美國東部區域，FQDN 為 sj-2nd并啟用了 SMB 身份驗證

利用 AWS 云服務是 52.27.15.250，FQDN 為 ec2-52-27-15-250.us-west-2.compute.amazonaws.com，但不確定此實例的操作系統。

一些下載服務器運行的是 Apache 服務器：

開放目錄

每個遠控木馬都根據配置文件連接對應的 C&C 服務器，IP 地址如下所示：

103.151.123.194

185.249.196.175

64.188.16.134

惡意域名如下所示：

asyncmoney.duckdns.org

nwire733.duckdns.org

mback5338.duckdns.org

yuri101.duckdns.org

惡意域名

攻擊者利用免費的動態 DNS 服務 DuckDNS 創建惡意域名，一些域名綁定在 Azure Cloud 上的服務器，另一些域名綁定在 C&C 服務器上。

gg1592661.duckdns.org

btime1624.duckdns.org

justinalwhitedd554.duckdns.org

wz303811.duckdns.org

js1994.duckdns.org

backu4734.duckdns.org

www.backu4734.duckdns.org

mback5338.duckdns.org

nwire733.duckdns.org

asyncmoney.duckdns.org

nanoboss.duckdns.org

asyncspread.duckdns.org

tdeasy.duckdns.org

dingspread.duckdns.org

asyncpcc.duckdns.org

jw9428875.duckdns.org

meunknown.duckdns.org

yuri101.duckdns.org

從域名請求來看，攻擊行動應該是從 2021 年 10 月開始的。

gg1592661.duckdns.org 的 DNS 請求

受害者

通過遙測數據，受害者主要來自美國、加拿大、意大利和新加坡，少量分布在西班牙和韓國。

結論

攻擊者正在積極利用云服務構建自己的攻擊基礎設施，研究發現 Nanocore、Netwire 和 AsyncRAT 就正在這么做。攻擊通過釣魚郵件進行傳播，電子郵件仍然是需要防范的重點位置。

總結

以上是生活随笔為你收集整理的安全研究人员发现：Nanocore等多个远控木马滥用公有云服务传播的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。