近日，360沙箱云和360安全情報(bào)中心監(jiān)測到一起通過郵件傳播的惡意程序攻擊。惡意程序通過電子郵件發(fā)送給受害者，并通過郵件正文和附件誘導(dǎo)用戶執(zhí)行附件中的惡意程序，來實(shí)現(xiàn)入侵。

經(jīng)過360沙箱云高級威脅分析平臺分析和安全專家分析確認(rèn)，此攻擊樣本是臭名昭著的 Mydoom 蠕蟲病毒。該病毒通過受感染的計(jì)算機(jī)發(fā)送垃圾郵件進(jìn)行傳播，并通過品牌仿冒和偽造來欺騙和誘導(dǎo)用戶，實(shí)現(xiàn)傳播擴(kuò)散的目的。在這篇文章中，我們將通過自動化分析和專家分析的方式，向大家呈現(xiàn)這起惡意程序攻擊的更多細(xì)節(jié)。

背景信息

最近幾個月，我們多次監(jiān)測到此病毒及其變種的活躍情況，電子郵件的發(fā)件人、標(biāo)題和正文都有所不同。發(fā)件人和標(biāo)題仿冒 EasyPay、E-Gold 等在線支付機(jī)構(gòu)；正文都比較簡單，僅有一些“賬號激活成功”之類的英文提示語。在這里我們列出其中的一些信息。

EasyPay 仿冒郵件：

E-Gold 仿冒郵件：

同一發(fā)件人的多次郵件：

樣本信息

MD5：194b2f31cc40249c041a5581e6a12a5b

SHA1：d3d8bee614f04572da7eaa26d51c15ebb3c8d6c2

沙箱檢測

通過360沙箱云高級威脅分析平臺的自動化分析，此樣本文件得到了惡意的判定結(jié)果，并產(chǎn)生了明顯的惡意特征：

靜態(tài)分析

360沙箱云集成的靜態(tài)查殺引擎檢測出此樣本文件所屬的惡意家族和類型是 Mydoom 蠕蟲：

網(wǎng)絡(luò)連接行為檢測，檢測出樣本有多種網(wǎng)絡(luò)行為并且會發(fā)送垃圾郵件：

持久化檢測，監(jiān)測到此樣本進(jìn)程創(chuàng)建開機(jī)自啟動項(xiàng)：

信息發(fā)現(xiàn)檢測：

MITRE ATT&CK? 矩陣映射：

行為關(guān)系分析

網(wǎng)絡(luò)分析

360沙箱云針對此樣本文件的分析任務(wù)監(jiān)測了大量的網(wǎng)絡(luò)活動數(shù)據(jù)。

流量特征分析：

主機(jī)連接：

DNS 解析請求：

HTTP 請求：

TCP/UDP 通信：

通過 SMTP 協(xié)議發(fā)送傳播郵件：

威脅指標(biāo)

基于360安全情報(bào)中心的高精準(zhǔn)威脅情報(bào)數(shù)據(jù)，360沙箱云識別到此樣本文件產(chǎn)生的大量網(wǎng)絡(luò)活動、行為活動和痕跡為高危指標(biāo)，為此樣本文件的判定提供更強(qiáng)有力的證據(jù)：

專家分析

360沙箱云高級威脅分析平臺為分析師和安全研究員們提供了強(qiáng)大的自動化分析能力。通過安全專家的深度挖掘，我們發(fā)現(xiàn)了深藏在此樣本文件中的更多細(xì)節(jié)。

運(yùn)行流程

詳細(xì)分析

1. 郵件附件是一個壓縮包，壓縮包中是一個帶 upx 殼的名為 readme.exe 的文件。

文件基本信息：

脫殼后：

樣本中使用的關(guān)鍵字符串均被加密在使用時進(jìn)行解密。

解密算法：

IDAPython 實(shí)現(xiàn)：

2.?該樣本運(yùn)行后首先進(jìn)行反調(diào)試、反沙箱。

反調(diào)試：

通過磁盤描述反沙箱：

3. 將 shervans.dll 文件設(shè)置自啟。使用 dll com 劫持實(shí)現(xiàn)自啟，自啟注冊表如下：

4. 檢測是否存在注冊表配置項(xiàng)，以此判斷是否是初次運(yùn)行。注冊表配置項(xiàng)：

5. 不存在注冊表配置項(xiàng)則進(jìn)入初次運(yùn)行分支。

5.1> 寫入 ctfmen.exe 文件。ctfmen.exe 文件被加密存儲在 VA_4115E0：

該樣本在寫入文件后會將本地 user32.dll 的時間屬性復(fù)制給寫入文件并對寫入的文件進(jìn)行微修改操作，以 ctfmen.exe 文件為例修改前后的對比如下：

ctfmen.exe 文件信息：

ctfmen.exe 文件的主要功能是運(yùn)行 smnss.exe 文件：

5.2> 寫入 shervans.dll 文件。shervans.dll 文件被加密存儲在 VA_40F3E0：

shervans.dll 文件信息：

shervans.dll 文件功能：將 %system%\ grcopy.dll 文件復(fù)制為 %system%\smnss.exe 文件。

satornas.dll 文件實(shí)際是一個 inf 文件，其被用于感染移動硬盤，文件內(nèi)容如下：

監(jiān)聽本地 3159 端口，等待連接并執(zhí)行接收到的指令：

持久化：持久化的文件分別是 shervans.dll 和 ctfmen.exe。持久化注冊表分別是

運(yùn)行 %system%\smnss.exe 文件：

感染可移動磁盤：

將 grcopy.dll 復(fù)制到磁盤根目錄，名稱是注冊表配置項(xiàng)中的 “namecp”。

5.3> 設(shè)置注冊表配置項(xiàng)的值。配置項(xiàng)中包括用戶 id，部分功能開關(guān)，記錄信息：

5.4> 將樣本文件復(fù)制為 %system%\grcopy.dll 文件。

5.5> 加載 shervans.dll 文件，運(yùn)行 ctfmen.exe 文件。

在運(yùn)行 ctfmen.exe 文件時其文件路徑不全并未運(yùn)行成功，最終由 shervans.dll 文件運(yùn)行shervans.dll %system%\smnss.exe 文件使樣本二次運(yùn)行。

6. 存在注冊表配置項(xiàng)則進(jìn)入二次運(yùn)行分支。

6.1>?創(chuàng)建互斥體。

互斥體名：

6.2> 創(chuàng)建線程發(fā)送垃圾郵件。

首先將 grcopy.dll 文件壓縮為 zipfi.dll 文件和 zipfiaq.dll 文件，壓縮文件名分別為 readme.exe、foto.pif。

然后檢測網(wǎng)絡(luò)連接狀態(tài)，連通則從本地磁盤的目標(biāo)文件中搜索目標(biāo)郵箱地址，搜索到郵箱地址則創(chuàng)建郵件并發(fā)送給目標(biāo)郵箱。

搜索磁盤：

搜索目標(biāo)文件：

從文件內(nèi)容中查找目標(biāo)郵箱地址：

排除含有特定字符串的郵箱地址，例：

隨機(jī)組織郵件內(nèi)容：

郵件字符串：

最后連接 SMTP 服務(wù)器將樣本壓縮文件作為附件一同發(fā)送給目標(biāo)郵箱。

6.3> 判斷 shervans.dll 是否在運(yùn)行，沒有則加載運(yùn)行。

6.4>?創(chuàng)建線程感染可移動磁盤。將 satornas.dll 文件復(fù)制到磁盤根目錄，名稱為 autorun.inf。

6.5>?連接 DGA 算法生成的域名。DGA 域名生算法以當(dāng)前時間為種子。

生成域名：

連接域名時發(fā)送的主要數(shù)據(jù)：

欲訪問的文件：

指令解析：

總結(jié)

在這篇文章中，我們通過自動化分析和專家分析的方式，向大家呈現(xiàn)這起惡意程序攻擊的更多細(xì)節(jié)。希望通過這篇文章的分析，能讓讀者們對這類惡意程序有更深的了解。在平時的上網(wǎng)活動中，希望讀者們能夠提高警惕，不要點(diǎn)擊不明來源的郵件、鏈接、附件文件，如果您不知道這些文件的可靠性和安全風(fēng)險(xiǎn)，360沙箱云和360安全情報(bào)中心可隨時為您提供幫助！

如果您已不幸感染此惡意程序，遭受到此惡意程序的攻擊，您可嘗試以下途徑加以補(bǔ)救挽回：

第一步：斷開被感染主機(jī)的網(wǎng)絡(luò)連接，終止蠕蟲病毒的常駐進(jìn)程或服務(wù)。?

第二步：使用360終端安全管理系統(tǒng)全盤掃描清除蠕蟲病毒。

第三步：修復(fù)被篡改的系統(tǒng)設(shè)置，包括注冊表、系統(tǒng)服務(wù)、計(jì)劃任務(wù)等蠕蟲病毒常用位置。?

第四步：再次全盤掃描確認(rèn)蠕蟲病毒是否清除完畢，如果蠕蟲病毒無法清除或反復(fù)出現(xiàn)，請聯(lián)系技術(shù)人員。

第五步：清除完畢后要確認(rèn)蠕蟲病毒感染途徑，避免二次感染。及時更新安全補(bǔ)丁、更改賬戶密碼。

關(guān)于我們

360沙箱云是 360 安全情報(bào)中心旗下的在線高級威脅分析平臺，對提交的文件、URL，經(jīng)過靜態(tài)檢測、動態(tài)分析等多層次分析的流程，觸發(fā)揭示漏洞利用、檢測逃逸等行為，對檢測樣本進(jìn)行惡意定性，彌補(bǔ)使用規(guī)則查殺的局限性，通過行為分析發(fā)現(xiàn)未知、高級威脅，形成高級威脅鑒定、0day 漏洞捕獲、情報(bào)輸出的解決方案；幫助安全管理員聚焦需關(guān)注的安全告警，過安全運(yùn)營人員的分析后輸出有價(jià)值的威脅情報(bào)，為企業(yè)形成專屬的威脅情報(bào)生產(chǎn)能力，形成威脅管理閉環(huán)。解決當(dāng)前政企用戶安全管理困境及專業(yè)安全人員匱乏問題，沙箱云為用戶提供持續(xù)跟蹤微軟已紕漏，但未公開漏洞利用代碼的 1day，以及在野 0day 的能力。全新版本的360沙箱云高級威脅分析平臺即將發(fā)布，為廣大用戶提供威脅分析服務(wù)，敬請期待！

360混天零實(shí)驗(yàn)室負(fù)責(zé)高級威脅自動化檢測項(xiàng)目和云沙箱技術(shù)研究，專注于通過自動化監(jiān)測手段高效發(fā)現(xiàn)高級威脅攻擊；依托于 360 安全大數(shù)據(jù)，多次發(fā)現(xiàn)和監(jiān)測到在野漏洞利用、高級威脅攻擊、大規(guī)模網(wǎng)絡(luò)掛馬等危害網(wǎng)絡(luò)安全的攻擊事件，多次率先捕獲在野利用 0day 漏洞的網(wǎng)絡(luò)攻擊并獲得商致謝，在野 0day 漏洞的發(fā)現(xiàn)能力處于國內(nèi)外領(lǐng)先地位，為上億用戶上網(wǎng)安全提供安全能力保障。