H1N1 lader

De H1N1-malware werd voor het eerst in het wild gedetecteerd als een eenvoudige loader - het had de taak om andere, meer complexe malwarebedreigingen af te leveren aan de reeds gecompromitteerde computer. Het onderging echter een snelle evolutie, waarbij de hackers erachter de dreiging uitrusten met verschillende bedreigende functies, zoals verduisteringstechnieken om analysepogingen te belemmeren, User Account Control bypass-functie, gegevensverzameling en zelfverspreiding in het geïnfiltreerde netwerk. Natuurlijk bleven de functies van de lader intact.

H1N1 werd aan het beoogde systeem geleverd via MS Word-documenten die beschadigde VBA-macro's bevatten. Om het ware doel van de macro, zware verduistering, te verbergen, wordt het gebruik van de tekenreeksfuncties StrReverse, Ucase, Lcase, Right, Mid en Left ingevoerd. De vergiftigde documenten gebruiken social engineering-tactieken om de gebruiker te overtuigen de beschadigde macro uit te voeren door een gecodeerd blok weer te geven, vergezeld van het bericht: 'Inhoud inschakelen om dit document aan te passen aan uw versie van Microsoft Word.' Het uiteindelijke doel van de macro is om een uitvoerbaar H1N1-bestand naar% temp% te verwijderen en het vervolgens uit te voeren.

H1N1 maakt zelf gebruik van twee anti-detectie- en analysetechnieken: string-obfuscation en import-obfuscation via import-hashing. String-obfuscation wordt bereikt door het gebruik van SUB, XOR en ADD met vaste DWORD-waarden. Wanneer elke bewerking is opgelost, wordt deze gebruikt als invoer voor de volgende.

Om het gebruikersaccountbeheer (UAC) van Windows-systemen te omzeilen, maakte H1N1 misbruik van een DLL-kaping. Het dwong het Windows Update Standalone Installer (wusa.exe) om een beschadigd DLL-bestand uit te voeren als een proces met hoge integriteit zonder een UAC-reactie uit te lokken. Een ander hulpmiddel dat aan H1N1 was gekoppeld, was een proces-kill-functie. De bedreiging heeft een interne lijst met processen en als er een overeenkomst wordt gedetecteerd op het gecompromitteerde systeem, wordt deze gedood via de opdracht ' cmd.exe / c net stop [servicenaam] '. Het proces kan ook niet worden gestart bij een volgende systeemstart via ' cmd.exe / c sc config [servicenaam] start = uitgeschakeld '. De lijst van H1N1 bestond uit 5 processen, waarvan er vier waren:

  • MpsSvc - Windows Firewall-service
  • wscsvc - Windows Security Center-service
  • WinDefend - Windows Defender-service
  • wuauserv - Windows Update Service.

Een nogal eigenaardig aspect van H1N1 was de mogelijkheid om systeemback-ups te verwijderen. Deze functionaliteit wordt vaak gebruikt door ransomwarebedreigingen, maar komt zelden voor in andere malwaretypes. In dit geval worden de schaduwvolumekopieën van de bestanden verwijderd via ' vssadmin.exe delete shadows / quiet / all ', terwijl de standaard Windows-herstelopties werden uitgeschakeld door bcdedit-opdrachten uit te voeren.

De meest drastische verandering in gedrag was echter de transitie van H1N1 van een loader-malware naar een krachtige bedreiging voor gegevensonderschepping. De H1N1-lader kan inloggegevens uit Firefox extraheren. Het zocht naar het inloggegevensbestand 'logins.json' in alle systeemprofielen en exfiltreerde de waarden die overeenkwamen met de 'encryptedUsername', 'encryptedPassword' en 'hostname'-sleutels. Om toegang te krijgen tot de aanmeldingsgegevens van Internet Explorer, heeft de dreiging eerst de URL-cache opgesomd, de URL's daar gehasht en geprobeerd ze te matchen met de waarden die zijn opgeslagen in - HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles \ Outlook en HKLM \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Profiles \ Outlook.

H1N1 Loader is een perfect voorbeeld van hoe door iteratie en constante ontwikkeling, zelfs niet zo geavanceerde bedreigingen krachtige onderdelen kunnen worden van de toolkits van cybercriminelen.

Trending

Meest bekeken

Bezig met laden...