惡意軟體Disttrack的最新變種是如何展開攻擊的?

Disttrack也稱為Shamoon，「W32.Disttrack」以及「W32.EraseMBR」， 是一個以破壞系統的主引導記錄（Master Boot Record，MBR）為目標的破壞性蠕蟲，憑藉極具破壞性的有效載荷，讓基礎設施的企業為之膽寒。

Disttrack的有效載荷已經呈蔓延之勢，主要針對沙烏地阿拉伯的關鍵基礎設施，包括：沙特阿美石油公司，沙烏地阿拉伯民用航空總局（GACA）和沙特電力公司，使這些基礎設施的關鍵系統無法使用。2012年，Disttrack首次被發現對沙烏地阿拉伯的目標企業展開攻擊，Disttrack的隱身能力和持久攻擊能立都非常強悍的，研究員發現Disttrack會給要進行攻擊的系統內置了一個硬編碼計時器，時間一到攻擊便開始。

不過在將受感染的計算機變得無法使用之前，Disttrack會收集受害者的數據，竊取信息，從Windows計算機的用戶、文件和設置、System32/Drivers和System32/Config文件夾中獲取數據，並將數據發送至相同內網上的另一台受感染的計算機。

Disttrack的攻擊非常具有針對性，而且攻擊時間都是設定好的，2016年Disttrack就把攻擊時間選在了在「吉慶夜」（Lailat al Qadr，穆斯林國家一年之中最神聖的夜晚）。

所以我們今天就來分析一下Disttrack的一些內部工作原理，以詳細了解這個惡意軟體是如何實施其攻擊的。

Disttrack變種歷史回顧

Disttrack新變種中的代碼仍然與其原始版本具有相同的特徵，Disttrack的原始版本於2012年首次被發現，其開發者使用Microsoft Visual C ++（版本9或10）進行編譯代碼。而目前Disttrack總共經歷三次變種。Disttrack前兩個樣本的編譯時間是2009年2月15號；然而，最新的這次變種的編譯時間分別在2011年6月6號和2011年9月14號，雖然經歷過三次變種，但攜帶型可執行（PE）部分的名稱和特性在三個Disttrack的變種中卻沒有發生變化。

Disttrack的最新變種利用了被稱為NETAPI32.dll的Windows native DLL。NETAPI32.dll為Disttrack軟體提供網路管理功能，如NetScheduleJobAdd，用於設置攻擊進行的日期和具體時間。在Disttrack的第二、三次變種中，已經合併了幾個其他功能，包括：

?NetUseAdd，用於在本地計算機和伺服器之間創建連接。

?NetUseDel，用於結束與共享資源的連接。

?NetUseEnum，用於列出本地計算機和遠程伺服器上的資源之間的所有當前連接。

?NetUseGetInfo，用於返回有關到共享資源的連接的信息。

另外隨著版本的升級，Disttrack代碼的大小也在增加。Disttrack最初發現的時候大約966 KB，之後不斷增加。以下兩個圖是隨著版本的升級，代碼大小的變化示意圖，可以看出有效載荷的大小在第一次升級時進行了增加，然後在最新的升級中有加了一些。

Disttrack的變種屬於是模塊化設計，其資源是Disttrack變種的各種簽名功能，包括偽裝成點陣圖對象的編碼組件。Disttrack的這次變種和前兩次變種的關鍵區別是資源名稱，目前，每個資源名稱對應一個特定組件。

Disttrack攻擊是如何開始的？

Disttrack的蠕蟲攻擊功能是由輔助組件發起的。此組件利用Microsoft RPC終結點映射程序來發現網路上的其他計算機。為此，Disttrack需要初始化網路適配器以構建套接字地連接（ 儘管套接字本質是文件描述符，但不是所有用於文件操作的函數都能用於套接字操作，比如lseek，套接字不支持文件偏移量）。在偏移量14002EED處，Disttrack包含用於收集有關主機的網路適配器的信息以構建套接字連接並提交數據包的代碼。

然後，在偏移量14002F40處，代碼會檢查RestrictAnonymous設置，然後將其更改為依賴於默認許可權或null。

RestrictAnonymous註冊表設置控制授予匿名用戶的枚舉級別（C語言編寫時,用枚舉定義優良中差）。

一旦Disttrack完成這些檢查並建立網路連接，代碼然後將對來自網路上的監聽主機的rpc-epmap數據包請求響應。

一旦與另一個主機建立連接，Disttrack將嘗試感染這個受攻擊的主機，如圖9所示，在偏移量3F4743E2和偏移量3F474424處。代碼會調用GetWindowsDirectory來檢索遠程主機上的Windows目錄的路徑（在大多數情況下，都將是C： Windows）。

接下來Disttrack通過調用NetUseAdd函數把受攻擊的主機共享的網路上，NetUseAdd函數在dropper木馬程序中的偏移140003B87處。

NetUseAdd函數會在本地計算機和遠程伺服器之間建立連接。如果未指定UNC路徑，則該功能使用遠程主機對客戶端進行身份驗證，以備將來進行連接。

一旦連接使用被盜憑證進行身份驗證，Disttrack便會連接到受感染主機的遠程註冊表中，並在HKLM System CurrentControlSet Services下設置註冊表項，該註冊表項將定義Windows服務並在運行完之後刪除程序。

其中在具有以下服務名稱的被攻擊過的計算機系統上，一些惡意攻擊已被識別出來：

?NtsSrv

?NtertSrv

?wow32

?drdisk

一旦惡意代碼完成了對Windows服務的創建，Disttrack將使用StartServiceW執行它們，如下圖所示，你可以在有效負載的偏移14000349處看到它們。

一旦攻擊開始執行，Disttrack會將惡意組件從其資源目錄中提取到受感染系統上的c： windows system32目錄中，你可以在有效負載的偏移量140001B60找到它。

最後，Disttrack惡意軟體會將惡意組件載入到內存中，直到感染了新的設備再循環重新開始。

攻擊過程的動態分析

現在，我們將目光轉向對受感染系統上運行的Disttrack惡意軟體的動態分析上。在下圖中， PID為3128的進程讓Disttrack產生子進程。

也就是說PID 3128實施了動態的凈荷類型。然後，文件擦除組件會將內核驅動程序載入到其堆棧中。

在這種情況下，我們看到PID 3128載入了Vdisk911.sys，一個過時的，但有效簽名的Eldos RawDisk驅動程序，它提供對主引導表的直接物理訪問。該驅動程序有趣地方在於，它包含在2012年8月到期的臨時許可證。

內核驅動程序最終允許Disttrack覆蓋和銷毀主引導記錄。 Disttrack的一個顯著特點是使用圖像文件覆蓋磁碟的這個區域。

我們可以觀察到受損主機驅動器的空間已經縮小，

這表明攻擊已經完成了。

結論

破壞性惡意軟體（如Disttrack）可以使大型基礎設施陷入癱瘓。雖然這種惡意軟體的攻擊目前還非常有限，但它們的攻擊威力非常大，而且後面還隱藏著政治動機。

建議有需要防禦的企業可以使用端點保護方案CylancePROTECT，這種基於AI的安全解決方案已經知道該如何預測和預防未知和新出現的類似威脅了。Cylance 的系統（具體而言，就是CylancePROTECT產品）可以預測惡意軟體、「零日漏洞」攻擊和其他網路威脅如何入侵電腦網路，然後幫助他們將這些威脅消除在萌芽狀態。

攻擊指示器

SHA-256散列演算法

Dropper代碼

010D4517C81BCDC438CB36FDF612274498D08DB19BBA174462ECBEDE7D9CE6BB394A7EBAD5DFC13D6C75945A61063470DC3B68F7A207613B79EF000E1990909B47BB36CD2832A18B5AE951CF5A7D44FBA6D8F5DCA0A372392D40F51D1FE1AC34

輔助攻擊代碼

61C1C8FC8B268127751AC565ED4ABD6BDAB8D2D0F2FF6074291B2D54B0228842772CEEDBC2CACF7B16AE967DE310350E42AA47E5CEF19F4423220D41501D86A5EFD2F4C3FE4E9F2C9AC680A9C670CCA378CEF6B8776F2362ED278317BFB1FCA8

數據刪除代碼

113525C6BEA55FA2A2C6CF406184092D743F9D099535923A12CDD9B9192009C4128FA5815C6FEE68463B18051C1A1CCDF28C599CE321691686B1EFA4838A2ACDC7FC1F9C2BED748B50A599EE2FA609EB7C9DDAEB9CD16633BA0D10CF66891D8A

文件名

Disttrack的第二次變種中所實施的有效負載中，所包含的下面這些文件名已被識別出來，

certutl.execlean.exectrl.exedfrag.exednslookup.exedvdquery.exeevent.exefindfile.exenetinit.exentssrvr64.exentssrvr32.exe

Disttrack的第三次變種中所包含的以下文件名也被識別了出來，

caiaw00e.exesbuvideo.execaiaw00i.exeolvume.exeusinwb2.exebriaw005.exefpwwlwf.exeepiaw003.exebriaw002.exeolvsnap.exedmwaudio.exebriaw006.exemiWApRpl.execaiaw00b.exelxiaw003.exe

本文參考來源於cylance，如若轉載，請註明來源於嘶吼： 惡意軟體Disttrack的最新變種是如何展開攻擊的? 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：