从目标攻击到非目标攻击

华盟君引言“今天，我想和大家分享一个有趣而又非常混乱的恶意软件，它让我开始思考“定向攻击”的含义”

目前，有针对性的攻击主要针对国有资产或商业领域。例如，有针对性的攻击可能针对海军工业(MartyMcFly就是一个很好的例子)或美国公司(针对美国、加拿大和意大利的僵尸网络是另一个很好的例子)，主要针对特定的目标部门。当我查看下面的示例时(这是一个关于类似威胁不断增加趋势的明显刻板印象)，我注意到范式从“什么目标”转向了“什么目标”。换句话说，攻击者似乎对他想要的受害者没有一个清晰的愿景，但相反，他对必须避免什么样的受害者有着明确的意图。让我们从头开始。

在寻找提交到Yomi (Yoroi的公共沙箱系统)的公共样本时，我注意到了以下示例(sha256: c63cfa16544ca6998a1a5591fee9ad4d9b49d127e3df51bd0ceff328aa0e963a)

公众在Yomi上提交了样本

该文件看起来像一个普通的XLS文件，具有较低的反病毒检测率，如下图(6/63)所示。

通过仔细查看Office文件，可以很容易地在VBA中发现“自动打开”过程。初始脚本通过整数转换和变量连接进行模糊处理。一个简单的断点和一个外部化真实有效负载的消息框足以暴露第二阶段，恰好用PowerShell编写。

反混淆Stage1以混淆Stage2

第二阶段也通过函数数组枚举和整数转换进行混淆。花了几分钟才知道如何从混淆版本转移到纯文本可读格式，如下图所示。

Stage2混淆

Stage2 DeObfuscated

这是整个攻击链中有趣的一面（至少从我个人的角度来看）。正如您可能从deo-bfuscated Stage2代码（上一个图像）中看到的那样，下载并从外部源运行两个主要对象。'*退出？' 对象下载一个Windows PE（Stage3_a）并运行它，而'need = js'对象返回一个额外的混淆javascript阶段，让我们称之为Stage3_b。我们稍后会关注这些阶段，现在让我们关注初始条件分支，它区分真实行为与虚假行为; 换句话说，它决定是否运行或停止执行真实行为。虽然条件分支的第二面是非常正常的行为 match "VirtualBox|VMware|KVM"，试图避免在虚拟环境上执行（试图避免检测和分析），第一方是非常有趣的。 (GET-UICulture).Name -match "RO|CN|UA|BY|RU" 试图找到受害者机器并决定 攻击所有人，但不是罗马尼亚，乌克兰，中国，俄罗斯和白俄罗斯。 因此，我们正面临针对目标攻击的补充。我想把它称为“无目标”攻击，这不是机会主义攻击。我想到了许多问题，例如为什么不攻击这些国家？也许攻击者害怕这些国家或攻击者是否属于该地区？可能我们永远不会得到这样的问题的答案，但我们可能会欣赏这种有趣的攻击行为。（顺便说一句，我知道这不是第一个有这个特征的样本，但我知道这是一个增长的趋势）。但让我们继续进行分析。

Stage3_a

Stge3_b  显然是最后一个感染阶段。根据许多防病毒软件  ，它看起来像一个浪漫的Emotet  所以我不会在这个着名的恶意软件中投入时机。

Stage3_b

这个阶段看起来像一个相当大和混淆的Javascript代码。混淆实现了三种主要技术：

• 编码字符串。字符串已经以不同的方式编码，从“到整数”到“十六进制”。
• 字符串连接和动态评估。使用 eval 动态提取这将被用来解码多个字符串值
• 字符串替换。通过查找和替换函数并使用循环来提取子字符串，攻击者隐藏了charset噪声中的明文

经过一番“手工作业”，最后Stage3_b反混淆了出来。下图显示了反混淆与混淆部分。我们仍然面临着一个混淆的阶段，我们称之为Stage4_b，恰好是一个混淆的PowerShell脚本......那怎么样！

结论

即使样本本身非常有趣 - 因为获得低AV检测率 - 这不是我今天的实际观点。有趣的是引入了另一个“定位”状态。我们习惯于看到有针对性的攻击，针对特定行业或特定行业或特定国家的攻击的意义，以及机会性攻击，通过全球范围内没有特定目标的攻击的意义。今天我们可能会引入另一种“攻击类型”非  目标 攻击，意思是攻击每个人而不是特定资产，行业或国家（如在此分析案例中）