?ang010ela?嘶吼专业版
概览
BrushaLoader是***者常用的一款下载器其用来获取受感染设备的信息,然后根据设备的情况来加载更多的payload。BrushaLoader这样的恶意软件在感染上不仅数量多,质量也很高。以致于***者可以绕过安全产品的检测更好地隐藏。同时,如果***者选择将勒索软件作为第二阶段payload,加载器也可以传播类似的破坏性的感染。
BrushaLoader是2018年6月首次出现的。截至目前已经过去1年了,但该恶意软件仍然出现在大量***活动中。研究人员从C2 panel中找到了该恶意软件的作者名Rusha。
图1: BrushaLoader C2 panel: "Copyright"
分析
BrushaLoader恶意软件执行后,会接收到一个名为PowerEnum的PowerShell,如图2所示。
?图2: rushaLoader传播和后感染活动的HTTP部分
PowerEnum会在受感染的设备上获取指纹信息,并发送数据到C2服务器。通信是通过到BrushaLoader的原始TCP parallel channel来实现的。PowerEnum也用来发送保存在Dropbox中的任务,最近开始保存在Google Drive中。
PowerEnum与BrushaLoader是一体的,而且共享一些C2基础设施。而且研究人员还发现PowerEnum在传播Danabot Affid "4"作为Fallout EK payload,如图3所示。
图3: Fallout EK释放PowerEnum,下载Danabot Affid 4和BackConnect Socks.dll
Payloads
BrushaLoader与Danabot banking Trojan Affid "3"强关联。但这种关联并不是排外的,也就是说它与其他恶意软件也有一定的关系,如图4所示。
?图4: 2018年与BrushaLoader 有关的其他***活动
图4中列出了一些关键的事件:
不常见的Payload:
·? Ursnif in Italy
·? Gootkit in Canada
·? Nymaim in Poland
C2 panel
在传播活动中,研究人员发现了BrushaLoader C2 panel,并非常惊讶使用压缩的VBS附件的基本***活动竟然成功了。虽然需要一些用户交互,但***者仍然成功在36小时内让4000多个计算机被黑,如图5和图6所示。
图5: BrushaLoader C2 panel – 运行几小时之后的受害者分布
图6: BrushaLoader C2 panel - 运行24小时之后的受害者分布
图7: BrushaLoader C2 panel – 运行36小时之后的受害者分布
图8: BrushaLoader C2 panel – 命令和任务
图9: BrushaLoader C2?panel – 主页
图10:? BrushaLoader C2 panel – Google Drive link
?图11:? BrushaLoader C2 panel – jSloader配置
结论
虽然下载器在***活动中也是常用的,但是BrushaLoader与多个第二阶段payload都有关联,比如DanaBot。研究人员在多个恶意软件***活动中都发现了BrushaLoader。经过分析发现,加载器的感染成功速率非常高,因此有许多的恶意软件使用它来传播payload。
注:本文翻译自:https://HdhCmsTestproofpoint测试数据/us/threat-insight/post/brushaloader-still-sweeping-victims-one-year-later
查看更多关于恶意软件BrushaLoader被发现1年后 仍然活跃的详细内容...