进攻观查:根据乱用Windows Installer MSI中的修改使用来运作故意JS/VBS/PowerShell角本

进攻观查:根据乱用Windows Installer MSI中的修改使用来运作故意JS/VBS/PowerShell角本

黑客安全hacker2019-05-19 8:15:0810263A+A-

Windows Installer应用Microsoft Software Installation (MSI)包文档来程序安装,每一包文档常有1个关系数据库,列举包括安裝或删除程序需要的指令和数据。

趋势科技近期发觉了某些故意MSI文件,他们能绕开傳統的安会解决方法,下載并实行其他文档。故意形为者能够乱用这种文档中的修改使用来实行故意角本,嵌入恶意程序,能够标记客户笔记本中经融程序运行地理位置。

剖析故意MSI文件

人们在好多个故意.msi文档样版中发觉了JScript / VBScript角本,但角本文档不一定详细,部位编码好像被断开并放到了文档的别的部位,而且角本沒有立即启用wscript.exe来运作,由于程序安装msiec .exe自身就含有解释器。

1.png

图1..MSI文件中包括的将会被断开的JavaScript角本

人们应用了Orca MSI Editor道具,它容许客户查询和编写数据库文件表,从而知道文件传送的方法和部位,人们可在CustomAction表格中搜索有关难题角本。CustomAction表容许客户将修改编码和统计资料模块化到安裝中,编码源能够是来源于特殊数据表、已安装文件或目前可执行文件流。该表列出了各类消息,如使用、种类、源、目的和拓展种类。

2.jpg

图2.Orca MSI Editor:包括JavaScript的CustomAction

故意JS编码(由趋势科技检验为Trojan.JS.MSAIHA.A)根据浏览以下地点hxxps[:]//s3-eu-west-1[.]amazonaws[.]com/{random characters}/image2[.]png来下載文档。下載的文档或建立的.txt文档将储存在下列任意我的文档中:

· %User Startup%\

· %User Profile%\Saved Games

· %User Profile%\Contacts

· %User Profile%\Links

· %User Profile%\Music

下載文档(.exe,.msi或来源于zip的转储文档)的文件夹名称为jesus或dump,而针对建立的.txt文档,文件夹名称则在desktop.txt,desktop和desktop.ini中间转换。

文档%Application Data%/ {yyyyMM} .ini是感柒标识,假如有它,则恶意程序将不容易再次其例程。恶意程序还会下载一个加锁的.zip文件,随后应用含有硬编号0x29的XOR对其进行破译。

3.png

图3.储存在Microsoft我的文档中的.zip文件的內容

4.png

图4.实行context_snapshot.exe的病毒

这一.zip文件里有基本文档,如iLua.inf,msvcr120.dll和msvcp120.dll;也是由Avira(小红伞,由法国的Avira企业所设计规划的防毒软件)电子签名的文档;也有 AutoIt有关文档和加锁的动态链接库(DLL)。该病毒根据AutoIt(1个应用相近BASIC开发语言的免费软件,布置用以Windows GUI中开展智能化使用)来破译加锁的DLL并实行context_snapshot.exe来引入其本身的DLL,能够成掩藏法律认可的程序。

这里的AutoIt角本(图3中的v8_context_snapshot.src,趋势科技检验为Trojan.AutoIt.AUTINJECT.AA)受密码设置,因而人们根据1个改动过的myAut2Exe(1个用以PIN码猜想、转化成路径名及其更多信息的道具)对其转码。

5.jpg

图5.v8_context_snapshot.src的日记輸出

6.png

图6.将 Avira可执行文件引入到加锁的DLL当中

该病毒应用破译后的AutoIt角本开展引入使用,此AutoIt角本人们手机上也发觉过相近的,网络攻击将其改动变成合适自身应用的板本。除此之外,AutoIt角本还额外了1个DLL,接着会载入到运存中,那么做的目地是以便实行电子签名的Avira文档(context_snapshot.exe),随后在Avira可执行文件的程序中引入加锁的DLL (Jlib.dll),并将其做为法律认可程序传送。

在人们与Avira企业论述了探讨結果后,Avira答复道:

人们的重中之重是维护人们的客户,因而人们马上检验了商品中全部文档及其外链。恶意程序以便可以在法律认可程序的语义中实行恶意代码并绕开安会解决方法,运用了人们的1个Avira可执行程序,在基本安裝的语义中引入恶意代码。只有只能在客户设备上未开启Avira维护时,该项流程能够实行完成,不然是不容易容许一切外部程序或部件改动/引入程序的。回首过去,人们并沒有接到过相近的


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 余安劣戏2022-05-31 20:45:37
  • yyyyMM} .ini是感柒标识,假如有它,则恶意程序将不容易再次其例程。恶意程序还会下载一个加锁的.zip文件,随后应用含有硬编号0x29的XOR对其进行破译。3.png图3
  • 余安嵶邸2022-06-01 00:42:21
  • 意形为者能够乱用这种文档中的修改使用来实行故意角本,嵌入恶意程序,能够标记客户笔记本中经融程序运行地理位置。剖析故意MSI文件人们在好多个故意.msi文档样版中发觉了JScript / VBScript角本,但角本文档不一定详细,部位编码好像被断开并放到了文档的别的部位,而且角本沒有立即启
  • 世味稚然2022-05-31 21:35:18
  • png图1..MSI文件中包括的将会被断开的JavaScript角本人们应用了Orca MSI Editor道具,它容许客户查询和编写数据库文件表,从而知道文件传送的方法和部位,人们可在CustomAction表格中搜索有

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理