您所在的位置: 首頁 >
安全研究 >
安全通告 >
利用“順豐速運”下發(fā)GuLoader惡意軟件的風險分析
0x00 背景介紹
GuLoader是一個使用VB語言編寫的惡意軟件下載器。它通常從Google Drive、Microsoft OneDrive、MediaFire等托管站點下載惡意代碼執(zhí)行。常見的后續(xù)惡意遠控程序有:LokiBot、Remcos RAT和Agent Tesla等等。GuLoader本身具有較為復雜的執(zhí)行流程,較強的反調機制使得當前部分在線沙盒無法精確檢測惡意行為,同時也給分析人員造成一定阻礙。
360-CERT監(jiān)測到今年以來使用GuLoader惡意軟件的網絡攻擊活動呈現(xiàn)不斷增加的態(tài)勢。我們在此發(fā)布該惡意軟件風險分析,提示用戶及時防范規(guī)避安全風險。
0x01 樣本動態(tài)分析
攻擊者使用偽裝成“順豐速運”的惡意釣魚郵件下發(fā)釣魚鏈接。
該釣魚鏈接指向MediaFire下載GuLoader惡意軟件壓縮包(鏈接信息部分隱藏)。
hxxps[:]//www[.]mediafire[.]com/file/ifu***empc/SF342012300120.7z/file
一旦用戶下載該惡意軟件壓縮包,并且無意執(zhí)行惡意程序,整個惡意流程被立即激活。
惡意代碼進入shellcode首先進行一系列的調試和虛擬化環(huán)境的檢測,shellcode入口如下:
加載DLL以及獲取即將調用的函數(shù)地址(例如:ZwQueryVirtualMemory)
調用ZwQueryVirtualMemory在內存0x10000 ~ 0x7FFFF000范圍內通過校驗HASH的方式比較字符串。
例如查找字符串“vmtoolsdControlWndClass”
一旦檢測到虛擬機環(huán)境,將對以下字符串進行解密,并調用MessageBoxA進行輸出。
枚舉頂層串口句柄,當句柄值小于0x0C時結束進程。
調用ZwProtectVirtualMemory函數(shù)修改DbgBreakPoint和DbgUiRemoteBreakin所在內存地址的屬性,并修改它們的函數(shù)實現(xiàn)。
修改DbgBreakPoint函數(shù)字節(jié)碼。
修改DbgUiRemoteBreakin函數(shù)字節(jié)碼。
調用ZwSetInformationThread函數(shù),利用傳入?yún)?shù)HideThreadFromDebugger(對應數(shù)值:0x11)隱藏進程。
調用CreateFile函數(shù),以GENERIC_READ(對應數(shù)值:0x80000000)方式打開指定路徑(C:\ProgramData\qemu-ga\qga.state)文件,檢測QEMU環(huán)境。
利用cpuid指令檢測虛擬機。
調用ZwGetContextThread函數(shù)獲取進程上下文并比較DR寄存器的值判斷是否處于調試環(huán)境。
然后以掛起的方式開啟傀儡進程。
一邊檢測DR寄存器一邊執(zhí)行一系列操作將msvbvm60.dll映射到傀儡進程并注入shellcode然后恢復進程。
恢復執(zhí)行傀儡進程后,重新執(zhí)行前文的所有檢測,然后進行聯(lián)網操作,下載RAT載荷解密執(zhí)行。
0x02 防護建議
360安全衛(wèi)士
360-CERT建議用戶安裝360安全衛(wèi)士進行防護
臨時解決方案
用戶可以在指定路徑創(chuàng)建特定文件對該版本GuLoader惡意軟件進行臨時防護
C:\ProgramData\qemu-ga\qga.state
0x03 IOCs
MD5
4F97FF7B772E9C31D9620EC8110A3094
5FEEDDE4790C300C6CEBC20684F79987
URL
hxxps[:]//www[.]mediafire[.]com/file/ifuhhu63u37empc/SF342012300120[.]7z/file
hxxps[:]//www[.]mediafire[.]com/file/6mukpc6m24uifiu/fresh_rLANVHaEFt60[.]bin/file
0x04 參考鏈接
GuLoader: A Popular New VB6 Downloader that Abuses Cloud Services [https://www.proofpoint.com/us/threat-insight/post/guloader-popular-new-vb6-downloader-abuses-cloud-services]
GuLoader AntiVM Techniques
[https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html]