在曩昔的几个月里，呈现了一种名为JasperLoader的新式歹意软件加载器，它以意大利和其他欧洲国家为方针，分发Gootkit等银行木马。咱们最近也宣布过JasperLoader相关特性的全面剖析，在陈述宣布后不久，与之有关的分发活动就中止了。但经过几周的埋伏之后，咱们发现JasperLoader的一个新版别正在传达。与初始版别比较，此版别有几个改动和改善的当地。JasperLoader通常用额定的歹意软件payload来感染体系，这些payload可用于走漏灵敏信息、损坏体系或对安排发生其他负面影响。 此次举动背面的进犯者有计划地操控歹意软件的传达，还采取了相应的办法防止安全人员的剖析，一起用到了一种新的机制来改善受感染体系和C2之间的通讯。现在，JasperLoader还在持续对意大利分散着要挟，进犯者也未连续对此歹意软件的改善工作，使之变得越来越杂乱，在未来咱们可能会看到JasperLoader的多种版别。 歹意软件分发上的改动 正如咱们之前在对JasperLoader的剖析中所说到的，JasperLoader采用了一个多阶段的感染进程，其特点是运用了几种混杂技能，使得剖析愈加困难。在感染初始阶段，进犯者运用一个名为Posta Elettronica Certificata (PEC)的服务来分发歹意邮件，PEC是一种经过认证的电子邮件服务，2019年头，意大利经过了PEC相关法案，这项新立法要求意大利企业运用电子发票来交给B2B和B2C买卖的发票。进犯者嗅觉敏锐地认识到了能够运用新方案添加自身的可信度，诱使更多受害者翻开歹意邮件。 不过现在，进犯者对歹意软件分发的 *** 做了一些改动。 咱们开端看到的样本中，邮件带着了一个ZIP文件，其间包含VBS文件，一旦翻开便会敞开感染进程。而在当时版别中，进犯者不再直接运用附件。 上图是初始样本的邮件内容，由意大利语编写，并带有一个歹意附件，该邮件标题为“postacert.eml”，翻开电子邮件后会弹出以下内容： 上图则是此次进犯中发现的新样本，也是分发进程开端开端改变的当地。电子邮件不再带着附件，可是有一个超链接转到地址hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip，一起链接结尾加上了邮件中的一个参数。例如，完好的URL是hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip?214299，数字214299是电子邮件自身中引证的数字。该地址看似没什么问题，会得到来自Web服务器的HTTP 302呼应。 HTTP 302是用于暂时移动的重定向代码，多年来一向被进犯者乱用，比方几年前盛行的运用302缓冲的缝隙运用工具包。 该链接会重定向到www.cnnic [.] cn，即我国互联 *** 信息中心（CNNIC）。明显，这个域名对用户而言是无害的，只会让他们感到一头雾水，所以咱们决议开端研讨潜在的地舆定位。 地舆定位是一种技能，进犯者运用它来保证一切的受害者都来自特定的区域或国家，而像咱们这样的研讨人员很难追寻到这种活动。地舆定位常常由APT安排运用，但不常用于像JasperLoader这样的软件。为了测验，咱们将流量路由到了意大利IP空间。 当流量经过意大利IP空间路由时，成果会有很大差异。回来请求是一个ZIP文件，其间包含一个歹意VBS文件，该文件相似于咱们发现的前期样本。履行此VBS文件后，感染进程发动并装置加载程序。 这也阐明JasperLoader在持续运用域名暗影(Domain Shadowing)，并在进犯者操控的子域之间快速移动。下图显现了与JasperLoader运用的某一C2域的DNS解析，尽管规模有限，但能看出有超越95％的进犯事情来自意大利，地舆定位保护办法似乎是成功的。 JasperLoader功用改动 JasperLoader的感染进程仍具有多阶段的特征，包含用于在体系上树立立足点，发动与进犯者操控的基础设施的通讯，并完成加载器的中心功用。尽管许多处理函数与咱们之前对JasperLoader的剖析中描述的相似，可是歹意软件的操作有几个明显的改动，这些改动将在下面的末节中描述。 额定的混杂层 与之前在JasperLoader感染进程中所看到的相似，进犯者依托多层混杂来企图躲藏歹意软件的动作。混杂机制通常是运用字符替换机制，并在运行时经过数学计算来重构即将履行的PowerShell指令。歹意软件运用的的Visual Basic脚本(VBS)下载器也运用相同的进程。 在当时举动中，进犯者引入了额定一层混杂，用字符替换来进一步含糊底层的PowerShell。 对VBS进行反含糊处理后，底层PowerShell为： 对上图中的每个字符替换后会变成之一阶段的PowerShell，该文件用于从C2检索其他阶段。这一阶段PowerShell的样本是: 此PowerShell与之前的JasperLoader中的内容相似，但还有一些明显差异。 钓饵文件 从之一阶段的PowerShell中能够看出，它从指定的URL检索PDF并将其显现给用户。 此PDF不是歹意的，仅仅规划用作钓饵文档，这样当用户履行VBS时，就会有一个预期的成果。[1][2][3]黑客接单网