针对CHM银行木马的检测分析及有效防护

华盟学院山东省第二期线下学习计划

一、CHM银行木马概述

安天在近期捕获的样本中发现了一种利用CHM传播的银行木马,该银行木马来源于一种垃圾邮件传播的附件中。当用户收到这种垃圾邮件并打开附件中的CHM文件时,恶意软件就会执行一个小的PowerShell命令,其下载并执行第二阶段的PowerShell脚本,当用户执行脚本时,会创建一个计划任务来运行恶意软件,从而获得持久性。

CHM是微软专有的在线帮助文件,它由编译成单一压缩文件格式的HTML页面组成,最常用的CHM是离线软件文档和帮助指南,这种编译过的HTML帮助文件已经被恶意软件作者利用过多次,他们将恶意的Downloader代码偷偷放入文件中,使其难以被检测。

针对CHM银行木马的检测分析及有效防护

图1 传播银行木马的垃圾邮件

目前,此款恶意软件主要针对巴西的用户进行传播,但是利用CHM隐藏恶意软件代码逃避检测正在成为攻击者努力发展的攻击手段,而且不排除此类银行木马在全球大规模传播的可能,因此需提高警惕。

经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)、探海威胁检测系统等产品可通过安天自主先进的AVL SDK for Network威胁检测引擎(简称安天AVL SDK)对该病毒做出精准检测和处置。

作为网络安全产品的“发动机”,优质的威胁检测引擎可为产品注入强大的动力。安天AVL SDK不仅具有非常高的威胁检出率,并且可对威胁提供精准的命名和配套的知识体系;不仅可增强产品防御的有效性、灵活性,同时也可输出有效的安全知识和威胁情报。

针对该类威胁,安天AVL SDK可深度解析电子邮件、CHM等十余种常见文件结构,细粒度地对文件进行解析还原,具有针对性地分离出文件中易于隐藏恶意代码的代码部分,为后续防御提供准确的检测结果。

二、CHM银行木马样本分析

2.1 攻击流程概述

1.攻击者大量发送垃圾邮件,使受害方收取邮件,并打开附件中的CHM文件。
2.当受害方打开CHM文件,Microsoft Help查看器会加载包含在CHM文件中的恶意HTML文件。
3.当HTML文件被加载后,会运行其中的JavaScript代码。
4.当JavaScript代码运行后,会解密出一段PowerShell指令。
5.当PowerShell指令执行后,会从网络中下载用于攻击第二阶段的PowerShell脚本。
6.新的PowerShell会从网络中下载远控木马程序及其它功能组件。

2.2 详细分析过程

2.2.1 拆解恶意CHM文件

针对CHM银行木马的检测分析及有效防护

图 2.1 CHM文件的AVL SDK拆解结果

拆解CHM文件后,得到了10个文件,其中“Load_HTML_CHM0.html”为包含恶意JavaScript指令的HTML文件。

针对CHM银行木马的检测分析及有效防护

图 2.2 HTML文件中的恶意JS代码调用函数

HTML文件通过调用“open()”函数来运行恶意JavaScript代码。

2.2.2 恶意JavaScript代码分析

JavaScript代码通过“open()”函数运行,该函数首先将两段加密数据进行解密。

针对CHM银行木马的检测分析及有效防护

图 2.3 JS代码中的两段加密数据

加密数据的解密过程如下:

1. 对加密数据段进行base64解码。
2. 将解码出的数据进行逐字节异或解密操作。

针对CHM银行木马的检测分析及有效防护

图 2.4 解密后的数据

将两段数据解密后,得到图2.4中的结果。第一段解密数据为运行PowerShell的命令,其中包含另外一段加密数据,将在下一节进行分析。第二段解密数据是一段ClassID,“adb880a6-d8ff-11cf-9377-00aa003b7a11”能够运行后面出现的PowerShell脚本。

2.2.3 恶意PowerShell脚本分析

如图2.4所示,该攻击通过终止“hh.exe”(用于浏览CHM文件的程序)及设置窗口样式为“hidden”,来逃避检测。

运行后,其对自身包含的加密数据段进行base64解码操作,解码后的结果如下图所示:

针对CHM银行木马的检测分析及有效防护

图 2.5 解码后数据

解码后的数据为一段PowerShell指令,该指令会下载另外一段PowerShell指令。

针对CHM银行木马的检测分析及有效防护

图 2.6 下载的PowerShell片段

该PowerShell指令会下载远控木马程序及其它功能组件并运行,从而达到控制受害方主机、窃取信息的目的。

三、 防护建议议

www.idc126.com

警惕陌生来源的电子邮件,不要轻易打开邮件附件。

如若转载,请注明原文地址: http://www.4hou.com/info/news/10621.html
本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论