H1N1 Loader

Il malware H1N1 è stato rilevato per la prima volta in natura come un semplice caricatore: aveva il compito di fornire altre minacce malware più complesse al computer già compromesso. Tuttavia, ha subito una rapida evoluzione, con gli hacker dietro di esso che hanno equipaggiato la minaccia con varie funzioni minacciose come tecniche di offuscamento per ostacolare qualsiasi tentativo di analisi, funzione di bypass del controllo dell'account utente, raccolta dei dati e auto-propagazione nella rete infiltrata. Naturalmente, le funzioni del caricatore erano ancora intatte.

H1N1 è stato consegnato al sistema di destinazione tramite documenti MS Word che contengono macro VBA danneggiate. Per nascondere il vero scopo della macro, l'offuscamento pesante, viene utilizzato l'uso delle funzioni stringa StrReverse, Ucase, Lcase, Right, Mid e Left. I documenti avvelenati utilizzano tattiche di ingegneria sociale per convincere l'utente a eseguire la macro corrotta mostrando un blocco criptato accompagnato dal messaggio "Abilita contenuto per adattare questo documento alla tua versione di Microsoft Word". L'obiettivo finale della macro è rilasciare un file eseguibile H1N1 in% temp% e quindi eseguirlo.

Lo stesso H1N1 utilizza due tecniche anti-rilevamento e di analisi: l'offuscamento delle stringhe e l'offuscamento delle importazioni tramite hashing di importazione. L'offuscamento delle stringhe si ottiene tramite l'uso di SUB, XOR e ADD con valori DWORD fissi. Quando ogni operazione viene risolta, viene utilizzata come input per quella successiva.

Per aggirare il controllo dell'account utente (UAC) dei sistemi Windows, H1N1 ha sfruttato una vulnerabilità di dirottamento della DLL. Ha costretto il programma di installazione autonomo di Windows Update (wusa.exe) a eseguire un file DLL danneggiato come processo ad alta integrità senza suscitare una risposta UAC. Un altro strumento collegato a H1N1 era una funzione di interruzione del processo. La minaccia dispone di un elenco interno di processi e, se viene rilevata una corrispondenza sul sistema compromesso, viene eliminata tramite il comando " cmd.exe / c net stop [Service Name] ". Al processo viene inoltre impedito l'avvio a qualsiasi avvio successivo del sistema tramite " cmd.exe / c sc config [nome servizio] start = disabled ". L'elenco di H1N1 consisteva in 5 processi, quattro dei quali erano:

• MpsSvc - Servizio Windows Firewall
• wscsvc - Servizio Centro sicurezza PC Windows
• WinDefend: servizio Windows Defender
• wuauserv - Servizio Windows Update.

Un aspetto piuttosto peculiare di H1N1 era la sua capacità di eliminare i backup di sistema. Questa funzionalità viene utilizzata comunemente dalle minacce ransomware, ma viene evocata raramente in altri tipi di malware. In questo caso, le copie shadow del volume dei file vengono eliminate tramite " vssadmin.exe elimina shadows / quiet / all " , mentre le opzioni di ripristino di Windows predefinite sono state disabilitate eseguendo i comandi bcdedit.

Il cambio di comportamento più drastico, tuttavia, è stato il passaggio di H1N1 dall'essere un malware di caricamento a diventare principalmente una potente minaccia di esfiltrazione di dati. Il caricatore H1N1 potrebbe estrarre i dati delle informazioni di accesso da Firefox. Ha cercato il file dei dati di accesso "logins.json" all'interno di tutti i profili di sistema ed ha esfiltrato i valori che corrispondevano alle chiavi "encryptedUsername", "encryptedPassword" e "hostname". Per accedere alle credenziali di accesso di Internet Explorer, la minaccia ha prima enumerato la cache degli URL, ha hash gli URL lì e ha cercato di abbinarli ai valori memorizzati in - HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles \ Outlook e HKLM \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Profiles \ Outlook.

H1N1 Loader è un perfetto esempio di come attraverso l'iterazione e lo sviluppo costante, anche minacce non così sofisticate possano diventare parti potenti dei toolkit dei criminali informatici.