在例行的威胁搜索演习中研究人员发现了一个恶意活动，我们观察到黑客组织正在传播DarkTortilla恶意软件 。DarkTortilla是一个复杂的、基于.net的恶意软件，自2015年以来一直活跃在恶意软件市场 。众所周知，该恶意软件会释放多个窃取程序和远程访问木马，如AgentTesla、AsyncRAT、NanoCore等 。最近，安全研究人员发表了一篇关于DarkTortilla及其详细行为的博客 。根据他们的分析 ， DarkTortilla通过带有恶意附件的垃圾邮件感染用户 。我们同时发现DarkTortilla背后的黑客组织还创建了网络钓鱼网站来分发恶意软件
如下所示，我们发现了两个伪装成合法Grammarly和Cisco网站的钓鱼网站 。钓鱼网站链接可以通过垃圾邮件或网络广告等方式到达并感染用户
钓鱼网站下载恶意样本，进一步导致DarkTortilla感染用户 。两个钓鱼网站提供的样本显示了不同的DarkTortilla恶意软件感染技术 。有趣的是，恶意软件会修改受害者的.LNK文件的目标路径，以保持其持久性 。这篇博客详细介绍了感染技术和有效载荷交付 。
技术分析
来自Grammarly 钓鱼网站的DarkTortilla Loader:
当用户点击“Get Grammarly”按钮时，Grammarly钓鱼网站会下载一个名为“GnammanlyInstaller.zip”的恶意压缩文件 。该zip文件还包含一个恶意的cabinet 文件，
“GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe”伪装成一个Grammarly可执行文件 。下图显示了该文件的详细信息 。
GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe &34; hxxps://atomm.com[.]br/. famous /acme-challenge/ol/ Fjawtld[.]png &34; hxxps://cicsom.com/download/TeamViewerMeeting_Setup_x64.exe &34;
Persist
这个类通过创建自动启动条目来负责恶意软件的持久性，例如将自己的副本放入Startup文件夹中并创建Run/Winlogon注册表项 。
?恶意软件使用%InstallationReg%和%InstallationKey%配置元素来创建正常的持久性 。
?恶意软件使用%HiddenReg%和%HiddenKey%配置元素来创建隐藏的持久性 。
Decrypter
恶意软件使用该类来进行解密操作
.NET类的CreateDecryptor方法
System.Security.Cryptography.RijndaelManaged，如下所示 。
Install
恶意软件使用这个类，通过将有效载荷文件作为参数传递，使用newlatbbinding . lateget方法加载和执行解密的有效载荷，如下图所示 。
Persistence using LNK files
?在我们的测试中，恶意软件使用上面提到的解密器加载并执行额外的有效载荷.net类 。加载的文件是一个vc++编译文件，负责修改受害者快速启动.LNK文件目标路径 。解密后的vc++文件执行以下操作 。
?在执行时，它会创建一个名为“NUkiklN<yjUKNj”的互斥锁，并在%Userprofile%位置下创建一个名为“tmp”的新目录 。
?恶意软件现在创建一个副本“Battle.net-Setup.exe”到新创建的“tmp”文件夹名为“system_update.exe”
?然后，使用FindFirstFileExW和FindNextFileExW等API函数在以下位置查找LNK文件 。
"%Userprofile%\\AppData\\Roaming\\Microsoft\\Internet Explorer\\Quick Launch\\
?之后恶意软件检索每个目标路径.LNK文件标识，获取应用程序的图标，并使用CreateFileA、getIconInfo、GetObjectA和WriteFileA等api将其存储在“tmp”位置 。
?恶意软件接着创建.bat文件，包含执行“system_update.exe”文件和实际应用程序的命令 ， 如下所示 。
接下来，它修改的目标路径.LNK文件并更改它以执行
分别在“tmp”位置创建的“.bat”文件 。恶意软件使用此技术创建持久性，并在用户单击时执行恶意文件 。LNK文件出现在快速启动位置
得持久性后，恶意软件连接到它的C&C服务器，并等待命令从远程服务器下载额外的有效载荷 。这个DarkTortilla被称为下载远程访问木马，如Agentesla, Nanocore, Asyncrat等
总结
DarkTortilla恶意软件是一种高度复杂的基于.net的恶意软件 ， 其目标是随意任意的用户 。在这次活动中黑客使用伪装的钓鱼网站来传播DarkTortilla恶意软件 。从钓鱼网站下载的文件显示出不同的感染技术 ， 这表明黑客应该有一个复杂的平台 ， 能够使用各种选项定制和编译二进制文件 。
【深入分析新型恶意木马病毒】以上就是朝夕生活（www.30zx.com）关于“深入分析新型恶意木马病毒”的详细内容，希望对大家有所帮助！

猜你喜欢

• 《火线人物》小布丁：少年倔强成长，老牌劲旅新生代希望
• 常见的网络攻击之ARP攻击
• 详解ARP协议工作流程和ARP欺骗原理，以及ARP欺骗攻击实验
• 阿里云主机攻击断网后怎么排查原因了
• ARP断网攻击Arpspoof工具安装、使用指南
• 魅族系统更新后手机变得更卡？学会这三步让手机多扛一年，望周知
• 手机总是卡顿怎么办？原来罪魁祸首是这3个开关，关闭后瞬间流畅
• 魅族手机关掉这些开关后，可以大幅度提高手机的运行速度！
• 手机的卡顿问题越来越严重，原来是这个按钮惹的祸，1秒关闭即可