NovaLoader是一款什么軟件
這篇文章將為大家詳細講解有關NovaLoader是一款什么軟件����,小編覺得挺實用的����,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲����。
近期����,研究人員檢測到了一個非常有趣的針對巴西銀行的惡意軟件活動����。這款惡意軟件名叫NovaLoader,采用Delphi開發(fā)����,并且使用了Visual Basic Script(VBS)腳本語言來擴展其他功能。雖然最終的Payload不算新穎����,而且也有很多研究人員已經研究過了,但我們這一次發(fā)現(xiàn)的多階段Payload傳播卻是之前沒有出現(xiàn)過的����。
傳播方法
在之前的樣本中,這款惡意軟件所采用的傳播方法包括垃圾郵件����、社工活動以及釣魚網站等等。攻擊者使用了各種參數(shù)和選項來確保惡意軟件的傳播,并嘗試繞過安全防護產品的檢測����。一般來說,他們主要利用的都是熱門的合法服務����,比如說Dropbox、GitHub����、Pastebin、AWS以及GitLab等等����,而且還會使用類似No-IP和DynDNS等動態(tài)DNS服務。
根據(jù)研究人員的分析����,NovaLoader在其感染鏈中使用了Autolt、PowerShell和Batch腳本����,但這是我們首次發(fā)現(xiàn)它竟然還使用了VBS����。除此之外����,在此次攻擊活動中����,它還使用了加密腳本,而不像之前那樣只是對腳本代碼進行了混淆處理����。
主Dropper
MD5:4ef89349a52f9fcf9a139736e236217e
這款惡意軟件的主Dropper比較簡單:它唯一的作用就是解密嵌入其中的VB腳本,并運行解密后的腳本:
第一階段腳本
下圖為嵌入腳本解密前和解密后的代碼����。
這個VBS文件將會解密一個URL地址(dwosgraumellsa[.]club/cabaco2.txt),并下載另一個加密腳本����,然后在該腳本解密后運行腳本:
第二階段腳本
下載下來的VB腳本解密后的部分代碼段如下所示:
VB腳本會向“http://54.95.36[.]242/contaw.php”發(fā)送一個GET請求,很可能是為了讓遠程C2服務器知道它已經成功在目標系統(tǒng)上運行了����。接下來,它會嘗試使用WMI查詢并檢測當前是否為虛擬機環(huán)境:
NovaLoader將會把下面這些可執(zhí)行文件拷貝到目錄“C:\\Users\\Public\\”中:
C:\\Windows\\(system32|SysWOW64)\\rundll32.exeC:\\Windows\\(system32|SysWOW64)\\Magnification.dll
接下來����,它會從以下地址下載一些依賴文件:
32atendimentodwosgraumell[.]club32atendimentodwosgraumell[.]club/mi5a.php文件在解密之后會存儲到“C:\Users\Public\{random}4.zip”����。32atendimentodwosgraumell[.]club/mi5a1.zip文件會存儲為“C:\Users\Public\{random}1.zip”����。32atendimentodwosgraumell[.]club/mi5asq.zip文件的存儲路徑為“C:\Users\Public\{random}sq.zip”。然后它會向“54.95.36.242/contaw{1-7}.php”發(fā)送多個GET請求:
GET/contaw.phpGET/contaw2.php?w={redacted}BIT-PC_Microsoft%20Windows%207%20Professional%20_TrueGET/contaw3.php?w={redacted}BIT-PCGET/contaw4.php?w={redacted}BIT-PCGET/contaw5.php?w={redacted}BIT-PCGET/contaw6.php?w={redacted}BIT-PC_2/1/2019%205:05:06%20PMGET/contaw7.php?w={redacted}BIT-PC_2/1/2019%205:05:06%20PM_CD=414KbCD1=9160Kb_除此之外����,它還會向“C:\Users\Public\”目錄存儲多個惡意文件:
最后,它將會使用拷貝過來的rundll32.exe文件來解密DLL并導出功能函數(shù):
第三階段的Payload是一個DLL文件����,它將作為最終階段Payload的加載器。它通過rundll32.exe運行����,主要功能就是解密和加載最終階段的Payload。
最終Payload
最終階段的Payload采用Delphi開發(fā)����,并且包含用戶憑證竊取(針對各大巴西銀行)在內等多種功能����。而且它還會監(jiān)控瀏覽器窗口的標題,如果檢測到了匹配的巴西銀行名稱����,惡意軟件將會控制目標系統(tǒng)并與惡意C2服務器建立連接,然后阻止用戶訪問真正的銀行網銀頁面����,并在后臺進行惡意操作。
惡意軟件所使用的部分命令如下:
惡意軟件中跟銀行有關的部分字符串如下:
入侵威脅指標IoC
MD5:
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 a7722ea1ca64fcd7b7ae2d7c86f13013
URL:
185[.]141[.]195[.]5/prt1.txt185[.]141[.]195[.]81/prt3.txt185[.]141[.]195[.]74/prt1.txtdwosgraumellsa[.]club/cabaco2.txtwn5zweb[.]online/works1.txt23[.]94[.]243[.]101/vdb1.txt167[.]114[.]31[.]95/gdo1.txt 167[.]114[.]31[.]93/gdo1.txt
關于“NovaLoader是一款什么軟件”這篇文章就分享到這里了����,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識����,如果覺得文章不錯,請把它分享出去讓更多的人看到����。
