新型JSNEMUCOD病毒样本分析报告

2019-08-14 33576人围观 ,发现 1 个不明物体 终端安全

0×00 事件概述

近日,亚信安全截获新型脚本病毒JS/NEMUCOD,该病毒通过混淆以及加密的方式躲避杀毒软件检测,其通过网络共享磁盘及可移动磁盘进行传播。JS/NEMUCOD脚本病毒还具有收集被感染计算机信息、删除系统中的文件等恶意行为。亚信安全将其命名检测为TrojanSpy.JS.NEMUCOD.BONING。

0×01 事件分析

该样本是一个经过混淆的JS脚本,原始落地样本文件(shell.jse)内容如下:

0729-1.png经过解密和混淆后的样本如下:

0729-2.png0729-3.png

该样本主要的恶意行为如下:

<1>它会链接如下网址发送和接收数据。

0729-3.png

0729-5.png

<2>它会收集系统如下数据:

当前系统进程列表 计算机用户名
计算机域名 计算机系统版本

0729-6.png

<3>:该病毒具有传播功能,如果它在自己的C&C服务器上下载文件失败,其将在网络共享和可移动驱动器中查找具有以下扩展名的文件,删除该文件,并使用自身的副本替换已删除的文件:

.doc .xls .pdf .rtf
.pub .odt .ods .odp
.odc .odb .txt .odm

0729-7.png

0729-8.png

<4>它具有反调试能力,如果发现系统上有防病毒软件、调试工具以及具体字符串时,将会自动终止自身运行。

内存中有如下进程:

anti – virus.EXE lordPE.exe B.exe iexplore.exe Proxifier.exe
ctfmon.exe AgentSimulator.exe VzService.exe VBoxTray.exe gemu – ga.exe
BennyDB.exe windanr.exe      

系统中存在有如下调试工具:

Procmon Wireshark ProcessHacker vmtoolsd VBoxService
ImmunityDebugger BehaviorDumper PROCMON procexp tcpdump
FrzState2k DFLocker64 vmware LOGService.exe  

系统环境中存在如下字符串:

VmRemoteGuest SystemIT|admin WIN7 – TRAPS Emily milozs
Johnson HAPUBWS Peter Wilson Hong Lee  

0729-9.png<5>执行后会删除自身。

0×02 解决方案

1、不要点击来源不明的邮件以及附件;

2、不要点击来源不明的邮件中包含的链接;

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码;

4、打开系统自动更新,并检测更新进行安装;

5、尽量关闭不必要的文件共享;

6、请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

0×03 关联性分析(无文件挖矿病毒)

JS/NEMUCOD病毒最早出现于2016年,起初Nemucod 木马程序是一个将自己伪装成安全文件的恶意软件。这些文件可以从不安全的网页下载,或通过垃圾邮件附件传播,这些具有欺骗性的邮件附件含有 JavaScript 代码,次代码会下载及运行 Nemucod 病毒的可执行文件。在勒索病毒“漫天飞舞”的时代,Nemucod自然与勒索病毒也存在关系,例如知名的Locky勒索病毒就曾利用JS/Nemucod进行下载和传播。

近期,亚信安全发现本次样本的相关信息(或者类似样本)出现在Pastebin上,Pastebin是一个用户存储纯文本的web应用,近年来,黑客常常利用此应用放置后门脚本,由于它很方便下载和读取内容,只需要通过固定的url就可以实现下载和读取相应内容。

10.png

之前较为流行的利用powershell进行无文件挖矿病毒就利用了这个特性,只需要将脚本放到此网站,然后通过powershell的命令通过固定url远程下载到内存执行即可实现其恶意行为。而这些命令通常是利用弱口令或MS17-010等漏洞在内网中传播,所以加强计算机的安全管理显得尤为重要。同样地我们也不排除未来此病毒通过powershell的方式进一步传播。 

0729-11.png0729-12.png 0729-13.png

IOCs

MD5

样本名称 MD5 亚信安全检测名
Shell.jse e6adc360a1c095f8ed1e53e5c90d467461d24578 TrojanSpy.JS.NEMUCOD.BONING  

URL

https://185[.]159[.]82[.]15/hollyhole/c644[.]php

https://185.159.82.20/t-34/x644.php

*本文作者:亚信安全,转载请注明来自FreeBuf.COM

发表评论

已有 1 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php