NeedleDropper

自2022年10月以来，我们观察到多种恶意软件类型是通过一种新的载体变种传送的，我们称之为NeedleDropper。这个名称来源于该载体存储数据的方式之一。NeedleDropper 不仅仅是一个可执行文件，它携带多个文件，这些文件共同创建一个恶意执行过程，提取文件以解密并注入恶意代码。这种恶意软件试图隐藏自己，通过生成许多未使用的无效文件，并将重要数据存储在几 MB 无关紧要的数据之间，还利用合法应用程序来执行其操作。NeedleDropper 似乎是一种新的恶意软件变种，采用以服务形式的商业模式，并在黑客论坛上出售给威胁行为者，以隐藏最终有效载荷。迄今为止，我们已经阻止了超过30000次对 Avast 和 AVG 客户的攻击尝试。

分析

NeedleDropper 是一个自解压缩档案，包含一个修改版的 AutoIt 解释器、模糊化的 AutoIt 脚本和用于初始执行的 Visual Basic 脚本。所有这些都与其他几个文件捆绑在一起，其中一些是恶意软件执行所需的稍后会描述。所有文件都会被提取到当前用户的临时目录中新创建的目录中。新创建的目录名称通常遵循相同的模式。下面的片段显示了 SFX 命令第4、8、12、16行隐藏在未使用的文本中，无效的命令字串将被忽略，仅执行有效命令。

NeedleDropper SFX 脚本片段

文件

在本节中，我们将描述自解压缩档案中的关键文件、它们的用途及其内容。所有文件都有唯一的随机生成的名称，大多数文件也有随机化的扩展名。

Visual Basic 脚本

初始的 VBS 脚本包含多行评论，试图在有效载荷中隐藏。 我们见过几个样本，里面嵌套了几 MB 的评论。这个脚本启动一个带有 LXA 文件作为参数的修改版 AutoIt 解释器。

初始 Visual Basic 有效载荷的片段

配置文件

配置文件是一个 INI 文件，包含几个键值对和多行未使用的行，试图隐藏任何配置值。这些值通常出现在 S3tt!ng 区段中。

NeedleDropper SFX 脚本的片段

常用键值对及其用途：

有效载荷

有效载荷文件包含一行反转的十六进制恶意载荷。整个字符串以 x0 结尾。Later版本的 NeedleDropper将有效载荷从单独的文件移至位于 [Troj] 和 [FinTroj] 序列之间的配置中。

有效载荷文件内容的片段

AutoIt 脚本

整个执行过程是通过作为参数传递给 AutoIt 解释器的 AutoIt 脚本完成的。代码隐藏在大量未使用的文本行之中。恶意软件在每一行重要代码前面放置注释在这种情况下为 #ce，以确定哪些行应视为代码进行解释。

执行 AutoIt 脚本垃圾信息已剔除

有效载荷执行

恶意软件使用 CryptoAPI 解密最终有效载荷。它从配置文件中获取解密密钥，并计算其 MD5 哈希，这作为 CryptDecrypt 函数的键，用于解密恶意有效载荷。完成以后，NeedleDropper 生成 RegSvcsexe 的挂起状态，并通过 WriteProcessMemory 注入有效载荷，然后恢复该挂起的进程，从而成功执行恶意软件。

NeedleDropper 执行流程的可视化

感染链

NeedleDropper 没有一个明显的感染方法；这些方法在各个样本中常常有所不同。到目前为止，我们已经注意到这种载体主要通过垃圾邮件附件传送。作为电子邮件附件，恶意软件通常作为加密的 7z 文件发送，或作为更大感染链的一部分，例如以 Excel 文档开始。然而，NeedleDropper 样本也经常通过 Discord 或 OneDrive 连结进行分享。由于各种感染方法和不同的有效载荷，这种恶意软件似乎是网络罪犯隐藏其有效载荷的一种服务。

垃圾邮件的片段

上述电子邮件包含一份 Excel 文档，利用了 CVE 201711882 漏洞，将 vbcexeNeedleDropper文件放置于 CUsersPublic 目录中。执行 vbcexe 后，它会将内容放置到临时目录中。在这个特定示例中，NeedleDropper 解密 FormBook 有效载荷，然后将其注入 RegSvcs 进程并执行。

感染链的可视化

分布

以下图片显示了 Avast 全球用户被 NeedleDropper 保护的情况。

2022年第 4 季度 Avast 保护的 NeedleDropper 用户地图

受保护用户的图表

结论

在这篇博文中，我们描述了一种新的恶意软件载体，对于对手们在其感染链中的使用非常普遍。根据我们目前的了解，我们认为开发者会修改这个载体，以实施不同的方法来避免检测，并保持对他人作为服务的吸引力。我们预测 NeedleDropper 将在全球各地开始感染越来越多的人，并使用不同的现代化有效载荷。

潜在威胁指标

GitHub 仓库：Needle Dropper

文件名称 SHA256 NeedleDropper 660eb5f2811753c24ecbd5c0e08c68d83d7eca1b2827ed90e2a5189ed61f3a5b NeedleDropper f7e52f120ab257e0d8e5021077b3370876be16469b76b6e0b6916486b3977bb3 NeedleDropper 06b02574925948a3f418ba2851f10585086a5f9b25d8f4e7de62dd52c6a56153 NeedleDropper e53e5e07b3165f507046c5992049a816bdd98969f10cc97a3d2bd010aea30b42 NeedleDropper 1b26f3213c07819cd61ed5e10b009ae5862cade4a3a403dcc6f6310485f6306b 配置文件 1d3078201c04bebc6595a2cc874530f1c2a5ff7201db4c8e43660808563c5a63 配置文件 dd7acb0d5e05d581148b614816f5450690f3fcc8ba4b3f00b5db1f3684570053 配置文件 8713d873a8f4179a4079ea46a6ae45a538dc2f07cf7b09f28adc25eec45dc873 垃圾邮件 01534a0f3e104b7cbafeeeaac3a0f0bf9d01e017c8a63964d81d0a30baee2916

此文章基于 Jan Blaek 在其学士论文工作中进行的研究。

标签：分析、载体、恶意软件、逆向分析

分享：XFacebook