进入2017年以来,360威胁情报中心监测到海莲花APT团伙活动频繁,近期再次入侵大量网站实施水坑攻击。团伙通过在目标网站植入恶意JavaScript代码,收集系统信息,诱使用户执行恶意程序,植入远控后门。基于收集到的IOC数据,360团队协助用户确认、清除入侵并分析恶意代码。海莲花团伙为绕过病毒查杀,通常利用带白签名程序加载恶意DLL。近期发现团伙利用MSBuild.exe执行恶意代码,此分析报告将分享该技术手段的详细过程。
MSBuild是微软提供的构建平台,支持XML项目文件控制构建流程。可独立于Visual Studio运行,支持文件复制、目录创建、C#代码编译等操作。通过定义XML项目文件中的任务,MSBuild可执行特定功能。在海莲花样本中,攻击者将恶意代码嵌入XML文件中,利用MSBuild加载执行。
分析样本执行流程:MSBuild加载并执行XML项目文件中的恶意代码,解密后生成Powershell脚本,该脚本在内存中加载并执行EXE文件,建立C&C通道,实现对目标的控制。MSBuild被用于加载执行恶意代码,实现绕过常规病毒查杀。
样本利用MSBuild加载机制执行流程如下:调用MSBuild命令执行XML文件,文件中定义的Task执行恶意代码解码、执行等操作。解码后的Powershell脚本在内存中执行,加载并执行EXE文件,建立C&C通道。
进一步分析样本加载机制:XML项目文件定义的Task通过重载Execute方法,实现恶意代码执行。解码后的Powershell脚本执行内存中EXE文件加载,生成C&C通道。MSBuild加载执行过程,绕过了病毒查杀。
样本执行流程总结:MSBuild加载执行XML项目文件,解码Powershell脚本,内存加载执行EXE文件,建立C&C通道,实现对目标的控制。MSBuild加载执行机制有效绕过病毒查杀,成为海莲花样本中的关键技术。
远控程序分析:样本为支持DNS隧道通信的远控Server,采用加密处理。API地址、域名等关键信息通过加密算法解密。程序使用UDP或TCP协议,通过DNS请求发送数据包,支持DNS隧道通信。此外,样本也支持消息分发模块,实现后门功能。
总结:海莲花样本利用MSBuild加载执行恶意代码,实现绕过病毒查杀。分析过程揭示了样本执行流程、远控功能等关键细节。MSBuild加载执行机制在样本中扮演重要角色,成为海莲花APT活动中的关键技术。
IOCs总结:C&C域名、注册表键值、互斥体、Payload文件名等关键信息。C&C域名包括facebook-cdn.net、z.gl-appspot.org、z.tonholding.com、z.nsquery.net等。注册表键值为KEY_CURRENT_USER Software\INSUFFICIENT\INSUFFICIENT.INI。互斥体为8633f77ce68d3a4ce13b3654701d2daf_[用户名]。Payload文件名为SystemEventsBrokers.xml和NTDSs.xml。
参考链接:MSBuild相关文档、MSBuild入门教程、Cybereason关于海莲花APT活动的分析报告等。
本文如未解决您的问题请添加抖音号:51dongshi(抖音搜索懂视),直接咨询即可。
热心网友
回答时间:2025-01-16 00:21
