一
事件概述
近日 ， 猎影实验室在威胁狩猎中捕获一例针对俄罗斯在线汽车交易平台的攻击诱饵 。 该文件以酒水单的名义伪装为压缩包文件诱惑用户打开 ， 用户打开具有合法签名的白文件时会侧加载恶意dll文件 ， dll启动RuntimeBroker.exe ， 并利用APC注入Shellcode执行恶意功能 。
值得一提的是该文件使用了开源的Shhhloader框架来执行后续恶意代码 。 并且我们观察到俄乌冲突持续进行 ， 乌克兰IT网军动作不断 ， 两者或许有着一定的联系 。
二
攻击分析
样本信息
文件名
Hash
Алкоголь_2023_zip.iso
Алкоголь_2023_zip.iso
样本为ISO文件 ， 文件名为俄语的“酒水_2023_zip” ， ISO文件内部包含多个文件 。
其中Алкоголь_2023.pdf.lnk为恶意lnk文件 ， 运行时首先运行update.exe,然后使用浏览器打开alcohol.pdf,文档打开后显示为俄罗斯美食连锁店GlobusGourmet的酒水单 。

文章图片
update.exe与thumbcache.dll为有Windows签名的合法文件 ， thumbcache.dll实际为真正的version.dll 。 运行update.exe时DLL侧加载伪装的version.dll执行恶意代码 。

文章图片
version.dll
version.dll是使用开源shellcode加载框架Shhhloader生成的 ， 该框架具有多种强大的功能 ， 并且操作简单 ， 可以快速生成具有shellcode执行能力的恶意PE文件 ， 大大降低了攻击的难度 。

文章图片
version.dll首先通过GetComputerNameExA获取计算机所处的DNS域名称 ， 并比较是否为corp.sberauto.com ， 如果不是的话就直接退出 。 sberauto是一家位于俄罗斯的在线汽车交易平台 ， 推测为攻击者本次活动的攻击目标 。

文章图片

文章图片
DNS域判断通过后首先会创建进程快照遍历进程获取explorer.exe的进程ID ， 再根据进程ID直接通过syscall调用NtOpenProcess得到进程句柄 。

文章图片
获取到explorer.exe进程的句柄后先通过UpdateProcThreadAttribute将explorer.exe设置为新进程的父进程来模拟正常的双击启动程序 ， 然后创建RuntimeBroker.exe并将初始状态设置为挂起 。

文章图片
再在内存中解密出shellcode并通过NtAllocateVirtualMemory以及NtWriteVirtualMemory将shellcode写入RuntimeBroker.exe中 。 解密出的部分shellcode如下 。

文章图片
再通过NtProtectVirtualMemory以及NtQueueApcThread将shellcode设置为可执行的APC例程 。 最后通过NtAlertResumeThread成功执行该APC例程 。
Shellcode
Shellcode首先从内存起始位置根据“MZ”以及“PE”标识找到Shellcode中包含的DOS头地址 。
然后根据LDR链以及函数hash值获取特定的函数地址

文章图片
再根据PE头中的信息分配内存以存储各节区数据 ， 将当前Shellcode起始地址偏移0x403处的数据复制到新分配的内存中 ， 这样新分配的内存中就不含有PE头信息 ， 以躲避内存扫描 。

文章图片

• 好莱坞|欧美扎心！俄罗斯播放盗版《阿凡达2》背后：盗版好莱坞大片将合法
• 5G|继续下放！ColorOS13针对多款老机型推送新版本，你的机型在内吗
• 龙芯|无法从西方进口CPU的俄罗斯，试图转投中国的“龙芯”！
• 俄罗斯发出严厉警告，美国Twitter公司如若不守法，将被完全封禁
• 微星|俄罗斯开发者1年拿不到钱！好好的微星AfterBurner被一场战争害死
• CPU|宋文洲：中国拒绝俄罗斯采购中国产CPU
• 索尼在上个月针对 2022款BRAVIA电视推送了 PKG6.|2022款索尼bravia电视迎来摄像头手势控制功能支持
• PATRIOT（博帝、爱国者）针对高端游戏市场创立了VIPER品牌|vipergaming推出ddr5性能内存系列
• 安卓|谷歌向印度国家公司法上诉法庭提起诉讼，挑战CCI针对安卓系统的巨额罚款
• 小米|雷军收到俄罗斯米粉的新年礼物：一个3D打印制作的米兔模型