多样攻击面——Vjworm恶意软件

多样攻击面——Vjworm恶意软件

尽管被称为Vengeance Justice Worm(Vjworm),但安全研究人员将其视为Leatherman恶意软件工具。Vjworm以极其普遍的方式造成严重破坏:信息窃取,拒绝服务(DoS)攻击和自我分发等等。安全公司Cofense TM发现了这种混合威胁——结合了一种蠕虫与远程访问木马(RAT)的特定——在最近的网络钓鱼活动中使用银行诱饵。 除了多重威胁,Vjworm还是公开可用的,任何具有最低水平的威胁行为者都可以使用它来攻击各种组织。

技术细节

CofenseTM分析了此网络钓鱼活动,该活动使用银行诱饵来提供名为Vengeance Justice Worm的混合蠕虫/远程访问特洛伊木马(RAT)样本。令人印象深刻的是,Vjworm可以在网络中建立一个多端立足点。VJWorm是一个公开可用的模块化JavaScript RAT,除了上面提及的功能,它还能进一步充当有效负载的中间下载器。

每个Vjworm样本都有一个对应JS文件的唯一标识号。标识号可以在运行的内存字符串和JS文件本身中看到,这些标识号用在解密算法中。尽管JS文件似乎是用阿拉伯语编写的,但算法编码的字符串是进入阿拉伯字符集的JS代码字符。这是通过将主源代码解码为Unicode,然后解析字符以获取字符代码来实现的。在涉及识别号长度的简单计算之后,将结果添加到字符代码中。然后使用‘String.fromCharCode()’将结果转换为阿拉伯语。

多样攻击面——Vjworm恶意软件

通过文本编辑器查看的JS文件中的标识号

信息窃取

Vjworm可以充当信息窃取者,这亿功能体现在多个方面,包括用于与Vjworm的命令和控制(C2)服务器进行通信和泄露数据的方法。成功执行后,样品采集信息,并对机器进行有效的指纹识别。随后,Vjworm将收集到的数据附加到对C2服务器的HTTPPOST请求中。

默认情况下,POST将发送到主机的“/Vre”子目录。下图描述了用户代理对数据和默认子目录的使用情况:

多样攻击面——Vjworm恶意软件

用户代理数据

此样本查看cookie会话数据、剪贴板字符串,并尝试窃取用户凭据。下图描述了运行内存字符串中看到的cookie收集功能:

多样攻击面——Vjworm恶意软件

Vjworm收集的cookie数据

此恶意软件系列能够连接回运营者C2服务器以获取进一步的指示以及跨端点自我分发功能。Vjworm的操作控制面板允许通过文件传输协议(FTP)将更多有效负载发送到端点并在端点上执行。这种方式甚至可以迫使端点从链接下载和执行有效负载。这使威胁行为者能够在不同的位置隐藏有效载荷,而不必放弃整个C2基础设施。

多样攻击面——Vjworm恶意软件

Vjworm操作控制台能够通过链接传送有效负载

多样攻击面——Vjworm恶意软件

进程内存中的连接字符串

自我分发

Vjworm展现出的通过可移动驱动器传播分发的能力与蠕虫的特性类似。此样本扫描机器以查找连接的任何DriveType 2设备,以便它可以将自身复制到驱动器上。一旦进入驱动器,Vjworm将可移动驱动器上的所有文件和文件夹设置为“系统隐藏”,并创建一个图标,其名称为先前隐藏的合法文件之一。此图标是一个快捷方式,用于在打开时执行隐藏在驱动器上的Vjworm副本。

此恶意软件系列还可以在整个操作系统和启动文件夹中进行自我复制。Vjworm能够编辑注册表项,以便脚本可以在操作系统中长期隐藏和保留。下图显示了包含上述所有选项的JS有效负载的控制台构建过程,包括USB检测和感染过程:

多样攻击面——Vjworm恶意软件

构建器中对USB传播构建功能的调用

拒绝服务(DoS)攻击

这个Vjworm样本还包含了一些本可以在僵尸网络中看到的功能。该样本显示它可以部署几种不同类型的DoS攻击,包括广告泛滥。另外,该样本其他类似僵尸网络的功能包括域名服务(DNS)请求操作,以及发送和接收垃圾邮件。

多样攻击面——Vjworm恶意软件

运行内存中的DoS字符串

多样攻击面——Vjworm恶意软件

与DNS操作功能相关的字符串

总结

Vjworm具有多种功能,允许威胁行为者为特定任务提供不同的有效负载。能够公开访问此恶意软件系列对于一些稍微业余的威胁行为者也是极为“便利”。

通过USB分发并允许远程访问连接的能力使得这种恶意软件类型集蠕虫和远程访问木马于一体,其允许提取信息和进一步执行有效载荷,同时能够实现自我传播。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134032.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code