【安全支持】亚信安全截取新型木马EHSTOR

事件描述

近日，亚信安全截获EHSTOR新型木马文件，该木马会对俄语、乌克兰语、白俄罗斯语、亚美尼亚语、哈萨克语、罗马尼亚语等语言地区设置白名单，根据加白的语种推测，该病毒作者为上述提及语言国家或者地区人员。通过对文件进行深入分析，我们发现病毒通过进程注入的方式将自身注入至Windows增强存储的密码验证程序EhStorAuthn，执行其恶意功能，窃取系统相关信息并上传至恶意站点，通过恶意站点接收数据。亚信安全将该病毒命名为：Trojan.Win32.EHSTOR.A。

攻击流程

亚信安全产品解决方案

• 亚信安全病毒码版本6.805.60，云病毒码版本6.805.71，全球码版本6.805.00已经可以检测，请用户及时升级病毒码版本

• 亚信安全DDAn沙盒平台已经可以检测

安全建议

• 打开系统自动更新，并检测更新进行安装

• 不要点击来源不明的邮件以及附件

• 不要点击来源不明的邮件中包含的链接

• 请到正规网站或者应用商店下载程序

• 采用高强度的密码，避免使用弱口令密码，并定期更换密码

• 尽量关闭不必要的端口

• 尽量关闭不必要的网络共享

• 请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储

病毒详细分析

查看程序的导入函数及字符串，未发现有用信息，后续确认其通过动态解密字符串的方式获取API及所需字符串。

该样本首先会休眠5秒，延长调用，尝试躲避沙盒检测。随后尝试创建does_not_exist.exe进程，若创建不成功，则继续执行后续代码，创建成功即退出， does_not_exist.exe为程序的标识文件。

通过调用Sub_404F5B对字符串执行解密操作。

添加如下三个判定条件：

• 调用ZwQueryInformationProcess反调试，检测是否存在调试器。

• 调用ZwQueryDefaultLocale查询本地语言信息，与给定的俄语、乌克兰语、白俄罗斯语、亚美尼亚语、哈萨克语、罗马尼亚语 - 摩尔多瓦、俄语 - 摩尔多瓦编号作比对，检查语言是否匹配。

• 打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\disk\Enum\0注册表，获取其中的数据。解密字符串与获取的注册表数据比对，检测是否存在虚拟机。

当匹配上述判定条件时，执行下面的操作：

• 在%AppData%/Roaming目录下创建del.bat文件，将给定的指令写入至文件中。

• 该bat文件主要功能为等待3秒，删除病毒样本及当前bat文件。

• 随后执行del.bat，程序退出。

当三个判定条件均不匹配时，则执行如下操作：

• 获取特殊路径%appdata%\Local及用户名，与给定的字符串进行拼接，拼接后字符串路径如下：

• 获取上述路径文件属性，当获取不到文件时，则跳转至文件创建操作。

文件创建

• 在%appdata%\Local目录下创建z_user文件夹并将其设置为隐藏属性。

• 将ntdll.dll复制到%appdata%\Local目录下重命名为wallpaper.mp4。

• 将样本文件复制到startup目录下以5位随机数命名。

• 在z_user目录下生成user.vbs文件，向其中写入数据。

• 其功能为执行同目录下的user.bat文件。

• 在z_user下创建user.bat文件，向其中写入数据。

• 其功能为检测进程列表中是否存在EhStorAuthn.exe进程，若存在则退出，不存在则执行病毒程序。

• 随后通过ShellExecuteW API重新执行病毒程序。

• 解密相关API并获取API地址。

• 获取当前进程文件路径并设置文件为隐藏属性。随后查找路径中是否包含EhStorAuthn字符串。
  

• 若不包含EhStorAuthn字符串，则执行如下操作：

使用进程注入方式注入至EhStorAuthn.exe。

以线程挂起的方式创建EhStorAuthn.exe进程。

调用ZwAllocateVirtualMemory申请虚拟内存空间。

将自身代码写入。

随后调用ZwQueueApcThread将代码附加到APC队列执行注入操作，随后恢复挂起的线程。

• 找到进程替换后的入口点，继续执行后续操作。

• 创建互斥体saint2021_NewGeneration。

• 获取对应用户名的SID标识及域账户名称。

• 将user.vbs加入至开机自启动项。

• 提升当前进程权限。

• 调用ShellExecuteW函数创建计划任务执行生成的vbs文件。

• 解密出网络相关的API。

• 解密cookie。

• 获取计算机相关信息，包括当前进程优先级、当前显示设备名称、内存大小、处理器名称、磁盘数、操作系统位数、操作系统语言、操作系统名称、磁盘序列号和用户名。

• 使用___将所获取的信息进行拼接。

  -1099036310___username___Windows 7 Professional___CN___x64___1___Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz___2___VMware SVGA 3D___High       

• 对上述字符串加密，加密后转换为BASE64编码。

• 调用网络API连接main21.xyz，由于该域名已无法访问，目前无法进一步分析后续接收的数据。

• 后续读取站点传输的数据。

• 当访问失败，会继续访问main21.space。该站点目前可以访问，但其目前返回404状态，所以无法切换main21.site站点。修改其判定条件后将域名更换为main21.site，继续跟进后续操作，数据读取依然失败。

IOC:

SHA1

7e77b925973755da363ad876c31d3552e91ed725

了解亚信安全，请点击“阅读原文”