快速变化的Magniber

Jirehlov1234

阅读原文：https://asec.ahnlab.com/ko/39929/
翻译：Jirehlov

从下发文件的扩展名到注入与提权的技术应用，近期的Magniber表明其正在快速地变化来绕开检测。本文简要总结Magniber在近几个月的变化。

表1 对比了下发文件的一些主要变化的特征。在4个月中，足有msi, cpl, jse, js, wsf这5种扩展名被使用。在9月份，扩展名快速变化了4次。(cpl -> jse -> js -> wsf -> msi)

日期	扩展名	执行进程	加密进程	关闭恢复环境进程	关闭恢复环境 (绕过UAC)
2022-05-07	msi	msiexec.exe	msiexec.exe	regsvr32.exe	fodhelper.exe (HKCU:\Software\Classes\ms-settings\shell\open\command)
2022-06-14	msi	msiexec.exe	正在运行的进程	regsvr32.exe	fodhelper.exe (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-07-20	cpl	rundll32.exe	rundll32.exe	/	/
2022-08-08	cpl	rundll32.exe	正在运行的进程	wscript.exe	fodhelper.exe (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-08	jse	wscript.exe	正在运行的进程	wscript.exe	fodhelper.exe (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-16	js	wscript.exe	正在运行的进程	wscript.exe	fodhelper.exe (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-28	wsf	wscript.exe	正在运行的进程	wscript.exe	fodhelper.exe (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-30	msi	msiexec.exe	正在运行的进程	wscript.exe	fodhelper.exe (HKCU:\Software\Classes\(custom progID)\shell\open\command)

图1 为5月7号版本的Magniber，以msi扩展名下发，由msiexec.exe执行，直接由msiexec.exe加密。加密后，执行关闭恢复环境。为了让关闭过程更加丝滑，利用注册表值(HKCU:\Software\Classes\ms-settings\shell\ open\command)来绕过UAC。



随后，如图2所示，6月14号的版本改为将载荷注入到正常的进程中，增加了加密主体的多样性。而且绕过UAC的技术中，参考的注册表值变为了(HKCU:\Software\Classes\(custom progID)\shell\open\command)，这比固定的(HKCU:\Software\Classes\ms-settings\shell\ open\command)免杀效果更好。



图3为7月20号版本。扩展名从msi变为了cpl，这个版本加密主体变为了rundll32.exe，但没有发现有关闭恢复环境的行为。



在8月的版本中，增加了注入的功能，是加密主体可以是正在运行的正常进程。也增加了关闭恢复环境的命令。绕过UAC参考了(HKCU:\Software\Classes\(custom progID)\shell\open\command)。与前面不同的是，执行绕过命令的不再是regsvr32而是wscript。



图5为9月8号的版本。一个月内，扩展名又改变了，从cpl变成了jse。执行主体变为了wscript.exe，载荷随后注入到正在运行的进程中，加密过程便由随机的进程进行。如表1所示，16号扩展名变成了js，28号变成了wsf。真是快呢。



9月30号的版本，扩展名又变回了最开始的msi。乍一看和6月份的没区别，但仔细观察会发现，绕UAC是wscript而不是regsvr32了。



我们Ahnlab一直在追踪Magniber，观察到，仅9月，扩展名便变化了4次。关闭恢复环境的过程也不断变化来试图绕过检测。
目前Ahnlab可以有效检测Magniber这类威胁。建议用户打开Ahnlab的进程内存扫描和AMSI选项。

Magniber目前主要通过Chrome浏览器和Edge浏览器访问误植域名(Typosquatting)传播，用户应留意访问的网站域名是否正常。

fzp070

感谢分享！
顽固并不断进化的Magniber，这样也好，将各种冷僻的扩展名都利用起来，提高安全厂商及大家防范意识。

tdsskiller

我以为作者来一波杀软的轮流白加黑来嘲讽了

wwwab

你还会翻译韩文啊