深入分析新型恶意木马病毒

　　在例行的威胁搜索演习中研究人员发现了一个恶意活动，我们观察到黑客组织正在传播DarkTortilla恶意软件。DarkTortilla是一个复杂的、基于.net的恶意软件，自2015年以来一直活跃在恶意软件市场。众所周知，该恶意软件会释放多个窃取程序和远程访问木马(rat)，如AgentTesla、AsyncRAT、NanoCore等。最近，安全研究人员发表了一篇关于DarkTortilla及其详细行为的博客。根据他们的分析，DarkTortilla通过带有恶意附件的垃圾邮件感染用户。我们同时发现DarkTortilla背后的黑客组织还创建了网络钓鱼网站来分发恶意软件
　　如下所示，我们发现了两个伪装成合法Grammarly和Cisco网站的钓鱼网站。钓鱼网站链接可以通过垃圾邮件或网络广告等方式到达并感染用户
　　钓鱼网站下载恶意样本，进一步导致DarkTortilla感染用户。两个钓鱼网站提供的样本显示了不同的DarkTortilla恶意软件感染技术。有趣的是，恶意软件会修改受害者的.LNK文件的目标路径，以保持其持久性。这篇博客详细介绍了感染技术和有效载荷交付。
　　技术分析
　　来自Grammarly 钓鱼网站的DarkTortilla   Loader:
　　当用户点击＂Get Grammarly＂按钮时，Grammarly钓鱼网站会下载一个名为＂GnammanlyInstaller.zip＂的恶意压缩文件。该zip文件还包含一个恶意的cabinet 文件，
　　＂GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe＂伪装成一个Grammarly可执行文件。下图显示了该文件的详细信息。
　　GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe ＂此文件是一个cabinet文件(. cab)，在执行后会在temp目录中删除一个基于.net的＂EMPLOY~2.EXE＂文件。＂deploy ~2.EXE＂文件是32位.NET可执行文件，sha256值为＂8cabfe5b8eacb81a456f3e2caa4da76ee3123e77603e2dfd338c283aa8f6cfcd＂。
　　执行时. NET可执行文件从远程服务器下载加密文件＂ hxxps://atomm.com[.]br/. famous /acme-challenge/ol/ Fjawtld[.]png ＂，使用RC4逻辑解密并在内存中执行。下图显示了恶意软件用来解密文件的代码片段。
　　解码后的文件是一个DLL文件，文件名为＂Kreocxoyxpcstfwtjlrj.dll＂，sha256为＂c5d91e6209d0db07e0d2f3a88bdb97d7fb9ccc0b906c514b5648f6f1aa104d3e＂。恶意软件进一步在内存中加载DLL文件，该文件作为最终有效载荷，并在系统中执行其他恶意活动。
　　来自 CISCO钓鱼站点的DarkTortilla   Loader   from   CISCO   Phishing   Site:
　　思科钓鱼网站从以下URL下载文件
　　＂ hxxps://cicsom.com/download/TeamViewerMeeting_Setup_x64.exe ＂是vc++编译的二进制文件，如下所示。
　　在执行时，恶意软件执行几个MOV指令，将加密内容复制到堆栈上，用于进一步的恶意活动。恶意软件使用这种技术可以逃避反病毒检测。
　　在将内容移动到堆栈后，恶意软件对加密的内容执行解密循环以获得可执行文件(PE)，创建一个新的注册表项＂HKEY_CURRENT_USERSOFTWARETeamViewerMeeting_Setup_x64＂，并将解密的PE文件复制为如下所示的二进制值。
　　恶意软件使用相同的技术，执行几个mov指令，并将PowerShell命令复制到堆栈内存中，如下所示
　　在此之后，恶意软件绕过UAC使用＂COM Moniker
　　Elevation:Administrator! new:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}＂并使用PowerShell .exe执行先前创建的PowerShell内容。下图显示了恶意软件使用的PowerShell命令。
　　PowerShell命令从注册表键＂HKEY_CURRENT_USERSOFTWARETeamViewerMeeting_Setup_x64＂中加载二进制值，并将其保存在＂LOCALAPPDATA＂文件夹中的＂Battle.net-Setup.exe＂中，然后执行它。PowerShell命令还为＂Battle.net- Setup.exe＂创建了一个任务调度器条目作为持久机制。下图显示了恶意软件创建的任务调度器条目。
　　载荷分析
　　下图显示了名为＂Battle.net-Setup.exe＂的恶意软件有效载荷的文件信息，该恶意软件有效载荷是一个基于.NET编译器的gui32位可执行文件，如下所示。
　　在执行时，＂Battle.net-Setup.exe＂文件检索并加载名为＂COROTIA.dll＂的新模块，然后从内存中执行它。＂COROTIA.dll＂是真正的DarkTortilla有效载荷，负责所有恶意活动，如创建持久性、进程注入、检查虚拟环境、显示假消息、与C&C服务器通信、接收命令、下载额外有效载荷等。
　　下图显示了新加载模块的.NET类
　　在执行＂COROTIA.dll＂模块时，它将一个较大的字节数组转换为HEX值，其中包含与反vm检查相关的字符串、用于进程注入的可执行名称、配置详细信息等，如下所示
　　AntiVMs
　　恶意软件执行反虚拟机检查，以确定文件是否在受控制的环境下执行，如Vmware, Vbox等。
　　FakeMessage
　　该类包含代码用于显示下面的假消息以欺骗用户，使其相信由于依赖的应用程序不可用，应用程序无法执行。
　　•MessageTitle:＂.Net Framework初始化错误＂
　　•MessageBody:＂要运行此应用程序，您首先必须安装以下版本的. net框架之一:r 。Net Framework, Version = 4.8.0 ＂
　　Persist
　　这个类通过创建自动启动条目来负责恶意软件的持久性，例如将自己的副本放入Startup文件夹中并创建Run/Winlogon注册表项。
　　•恶意软件使用%InstallationReg%和%InstallationKey%配置元素来创建正常的持久性。
　　•恶意软件使用%HiddenReg%和%HiddenKey%配置元素来创建隐藏的持久性。
　　Decrypter
　　恶意软件使用该类来进行解密操作
　　.NET类的CreateDecryptor()方法
　　System.Security.Cryptography.RijndaelManaged，如下所示。
　　Install
　　恶意软件使用这个类，通过将有效载荷文件作为参数传递，使用newlatbbinding . lateget()方法加载和执行解密的有效载荷，如下图所示。
　　Persistence using LNK files
　　•在我们的测试中，恶意软件使用上面提到的解密器加载并执行额外的有效载荷.net类。加载的文件是一个vc++编译文件，负责修改受害者快速启动.LNK文件目标路径。解密后的vc++文件执行以下操作。
　　•在执行时，它会创建一个名为＂NUkiklN

魏侍郎惊听连环计冯公公潜访学士府隆庆皇帝中风之后，吃了太医祛火去邪的汤药，又严禁了房事，不过十天，病情就显著减轻，这一日还挪步到西暖阁批了几道折子。消息传出来，日夜守在内阁须臾不敢离开的两位辅臣才大大松了一口气按坏消息！国乒2人已提前出局，今天迎战日本世界冠军（附赛程）北京时间7月19日下午，乒乓球WTT布达佩斯支线赛即将迎来第二个比赛日的对决，中国队总计18人报名目前已有1人被淘汰出局，那就是因颜值而走红网络的女队选手王添艺，另外2人已经晋级正对话福万吉利总经理刘敏铭，月销破百的秘密众所周知，我国汽车身处变革时期，一方面要朝着电气化发展，另一方面自主品牌也在不断尝试品牌升级。而在众多自主品牌中，吉利汽车一直被看做是领军品牌。也被当做是品牌向上发展的典范。近期5食人魔自诉人肉烹制流程！面露寒光我分享给亲友家包饺子吃吃人肉还喜欢把人肉分给别人吃，这是什么怪癖？63岁的著名杀人犯VladimirNikolayevichNikolayev，就是这样的一个病得不轻的头号罪犯。但还好，这名被称为俄罗斯中国4种放心光瓶酒，经鉴定均为100原酿，无1滴香精，你喝过几个一日，我跟朋友讨论现今白酒界。我说人若不喝酒，枉在世上走！古时，粮食产量不充裕，酒是奢侈品。现今不一样了，托袁爷爷的福，大家能吃饱饭了，酒水也从奢侈品变成了亲民品，没事喝两杯，可真腾讯是工商银行间接控股的？此次腾讯股价下跌，与工行有关？众所周知，国内互联网的两极，其第一大股东均非国内企业或者个人，其中阿里巴巴的第一大股东为软银集团，而非马云而腾讯的第一大股东也并非马化腾，而是南非报业集团，自从2001年投资腾讯以最能代表中国电影的，只有一个巩俐女士稻盛和夫说你的磁场，锁定了你的命运。一个人有足够积极向上的精神，自然能够吸引好的事，好运气。我想巩俐女士天生就是这种人。她一生走在大运的路上，顺风顺水。1965年出生沈阳，并不是山大学生当义务兵两年后，到手能有多少补助？想当兵的人要了解导语成为一名军人，是一件无限光荣的事情。相信在每个人的心中都有一个英雄梦，而宇宙的英雄便是军人。在我国，满18周岁以后就可以参军入伍。而且一人当兵，全家都会跟着光荣。在每个人的青春调查研究是谋事之基成事之道中央纪委国家监委网站郝思斯1988年，一到福建宁德，习近平同志就扎进基层开始调查研究。到任不到3个月时间，他走遍宁德地区下辖9个县，经过调研为闽东初步确立了发展思路。图为宁德市寿宁脖子上的小肉粒，可能是HPV感染！一文教你如何应对湖南中医药大学第一附属医院长沙头条一到夏季，一些人脖子上就喜欢长小肉球，长在患者脖子上的这些小疙瘩从针尖到米粒大小不一，从几个至成百上千不等，不痒不痛，擦不掉也洗不去，随着时间会越陈某志母亲身份不简单？涉事者直接辟谣否认我和他家毫无关系近日，河北一则辟谣消息引起外界广泛的关注。某单位都主任直接辟谣，他和陈某志一家毫无关系。那么这件事情背后的真相到底是什么？其中还有什么隐情？网络风波7月13日，一位叫听雨廖书胜的网
<<<<<<－>>>>>>