微软：Dexphot恶意软件使用无文件安装，随机化，加密和多态来逃避检测，含IOC

微软已经跟踪了一年多的恶意软件一直在利用多种逃避技术，包括随机文件名，无文件安装和多态性。

称为恶意软件Dexphot的 Microsoft 注意到它试图部署每小时更改两次或三次的文件。该多态恶意软件针对数千种设备，直接在内存中运行代码，并劫持合法系统进程以逃避检测。

最初，大规模的活动强度随着时间的流逝而下降，只有少数机器仍然遇到Dexphot相关的恶意行为。

Dexphot的感染过程始于将五个文件写入磁盘：一个具有两个URL的安装程序，一个MSI文件，一个受密码保护的ZIP归档文件，一个从归档文件中提取的加载器DLL以及一个包含三个附加可执行文件的加密数据文件。

该恶意软件在执行过程中滥用了许多合法的系统进程，例如msiexec.exe，unzip.exe，rundll32.exe，schtasks.exe和powershell.exe以及早期的svchost.exe，tracert.exe和setup.exe 后期。

Dexphot安装程序由SoftwareBundler：Win32 / ICLoader及其变体删除并执行。然后，安装程序将利用两个URL来获取恶意负载（相同的URL以后将用于持久性，更新和重新感染）。

从一个URL下载一个MSI软件包，然后使用msiexec.exe进行静默安装。安装过程开始时，将首先执行Dexphot软件包中的批处理脚本，以检查防病毒产品。

该恶意软件检查是否存在来自Avast和AVG的防病毒产品以及Windows Defender Antivirus，并且如果找到了这种应用程序，则感染将停止。

否则，受密码保护的ZIP归档文件将解压缩以提取加载程序DLL，加密的数据文件和不相关的DLL。

接下来，使用进程空心化：加载程序DLL以两个合法的系统进程为目标，并以挂起状态生成它们，然后用两个恶意可执行文件替换其内容，然后将其从挂起状态释放。

然后将setup.exe进程作为目标，并将其内容替换为第三个可执行文件，即加密货币矿工。

前两个可执行文件代表Dexphot组件的监视服务，以确保持久性。每个都检查所有三个恶意进程的状态，如果终止，则开始重新感染。监视服务还检查cmd.exe进程并立即终止它们。

该恶意软件还创建计划任务，作为持久性故障保护。这些任务使用msiexec.exe作为代理运行恶意代码，并且还允许Dexphot更新组件。

由于包含了以下文件，因此使用了多个级别的多态性，每个MSI软件包都是唯一的：unzip.exe的全新版本，受密码保护的ZIP文件和批处理脚本。脚本并非总是预设的，每个文件的其他文件名和ZIP文件的密码都会更改。

加载程序DLL的内容也随一个包而不同，与ZIP文件中的加密数据相同。

攻击中使用的域遵循类似的模式，有效载荷的文件名是随机创建的。许多域已经使用了很长时间，但是MSI软件包经常更改或更新。总体而言，Microsoft确定了大约200个唯一的Dexphot域。

“ Dexphot并不是引起主流媒体关注的攻击类型；它是在任何特定时间都处于活动状态的无数恶意软件活动之一。[…] Dexphot甚至可以说明日常威胁的复杂程度和发展速度，旨在逃避保护措施，并有动机为了获得利润而躲藏在雷达下。”

多态性

Dexphot在分布的二进制文件中表现出多层多态性。例如，广告系列中使用的MSI软件包包含不同的文件，如下表所示。MSI软件包通常包括unzip.exe的全新版本，受密码保护的ZIP文件以及检查当前安装的防病毒产品的批处理文件。但是，批处理文件并不总是存在，并且ZIP文件和Loader DLL的名称以及提取ZIP文件的密码都从一个软件包更改为另一个软件包。

MSI package ID	MSI package contents			Password for ZIP file	Contents of encrypted ZIP
MSI package ID	Unzip.exe name	ZIP file name	Batch file name	Password for ZIP file	Loader DLL file name	Encrypted data name
MSI-1	ex.exe	webUI.r0_	f.bat	kjfhwehjkf	IECache.dll	bin.dat
MSI-2	ex.exe	analog.tv	f.bat	ZvDagW	kernel32.bin	bin.dat
MSI-3	z.exe	yandex.zip	f.bat	jeremy	SetupUi.dll	bin.dat
MSI-4	unzip.exe	ERDNT.LOC.zip		iso100	ERDNT.LOC	data.bin
MSI-5	pck.exe	mse.zip		kika	_steam.dll	bin.dat
MSI-6	z.exe	msi.zip		arima	ic64.dll	bin.dat
MSI-7	z.exe	mse.zip	f.bat	kika	_steam.dll	bin.dat
MSI-8	z.exe	mse.zip		kika	_steam.dll	bin.dat
MSI-9	z.exe	yandex.zip	f.bat	jeremy	SetupUi.dll	bin.dat
MSI-10	hf.exe	update.dat	f.bat	namr	x32Frame.dll	data.bin
MSI-11	z.exe	yandex.zip	f.bat	jeremy	SetupUi.dll	bin.dat
MSI-12	unzip.exe	PkgMgr.iso.zip		pack	PkgMgr.iso	data.bin
MSI-13	ex.exe	analog.tv	f.bat	kjfhwefkjwehjkf	urlmon.7z	bin.dat
MSI-14	ex.exe	icon.ico	f.bat	ZDADW	default.ocx	bin.dat
MSI-15	hf.exe	update.dat		namr	AvastFileRep.dll	data.bin
MSI-16	pck.exe	mse.zip	f.bat	kika	_steam.dll	bin.dat
MSI-17	z.exe	mse.zip	f.bat	joft	win2k.wim	bin.dat
MSI-18	ex.exe	plugin.cx	f.bat	ZDW	_setup.ini	bin.dat
MSI-19	hf.exe	update.dat		namr	AvastFileRep.dll	data.bin
MSI-20	ex.exe	installers.msu	f.bat	000cehjkf	MSE.Engine.dll	bin.dat
MSI-21	z.exe	msi.zip	f.bat	arima	ic64.dll	bin.dat
MSI-22	z.exe	archive00.x	f.bat	00Jmsjeh20	chrome_watcher.dll	bin.dat

另外，每个加载器DLL的内容因软件包而异，ZIP文件中包含的加密数据也有所不同。每次攻击者将文件捆绑在一起时，这将导致生成不同的ZIP存档，进而生成唯一的MSI软件包。由于这些经过精心设计的多态层，传统的基于文件的检测方法对Dexphot无效。

众多有效负载主机

除了跟踪Dexphot用于执行攻击的文件和进程之外，我们还一直在监视用于托管恶意有效负载的域。用于托管所有的URL遵循类似的模式。域名地址通常以.info或.net TLD结尾，而实际有效负载的文件名则由随机字符组成，类似于先前所看到的用于生成文件名和计划任务的随机性。下表列出了我们研究的一些例子。

Scheduled task name	Download URL
hboavboja	https://supe********709.info/xoslqzu.pdi
{C0B15B19-AB02-0A10-259B-1789B8BD78D6}	https://fa*****r.com/jz5jmdouv4js.uoe
ytiazuceqeif	https://supe********709.info/spkfuvjwadou.bbo
beoxlwayou	https://rb*****.info/xgvylniu.feo
{F1B4C720-5A8B-8E97-8949-696A113E8BA5}	https://emp*******winc.com/f85kr64p1s5k.naj
gxcxhbvlkie	https://gu*****me.net/ssitocdfsiu.pef
{BE7FFC87-6635-429F-9F2D-CD3FD0E6DA51}	https://sy*****.info/pasuuy/xqeilinooyesejou.oew
{0575F553-1277-FB0F-AF67-EB649EE04B39}	https://sumb*******on.info/gbzycb.kiz
gposiiobhkwz	https://gu*****me.net/uyuvmueie.hui
{EAABDEAC-2258-1340-6375-5D5C1B7CEA7F}	https://refr*******r711.info/3WIfUntot.1Mb
zsayuuec	https://gu*****me.net/dexaeuioiexpyva.dil
njibqhcq	https://supe********709.info/aodoweuvmnamugu.fux
{22D36F35-F5C2-29D3-1CF1-C51AC19564A4}	https://pr*****.info/ppaorpbafeualuwfx/hix.ayk
qeubpmnu	https://gu*****me.net/ddssaizauuaxvt.cup
adeuuelv	https://supe********709.info/tpneevqlqziee.okn
{0B44027E-7514-5EC6-CE79-26EB87434AEF}	https://sy*****.info/huauroxaxhlvyyhp/xho.eqx
{5A29AFD9-63FD-9F5E-F249-5EC1F2238023}	https://refr*******r711rb.info/s28ZXoDH4.78y
{C5C1D86D-44BB-8EAA-5CDC-26B37F92E411}	https://fa*****r.com/rbvelfbflyvf.rws

结论：动态，全面的防御措施，可以应对日益复杂的日常威胁

Dexphot不是引起主流媒体关注的攻击类型。它是在任何特定时间都处于活动状态的无数恶意软件活动之一。它的目标是在网络犯罪分子中非常普遍的目标- 安装一个无声地窃取计算机资源并为攻击者创造收入的硬币挖矿机- 但Dexphot证明了日常威胁的复杂程度和发展速度，旨在逃避保护和激励飞来飞去寻找利润的前景。

为了抵御威胁，Microsoft Defender Advanced Threat Protection的防病毒组件中的几个下一代保护引擎可以在攻击链的多个位置检测并阻止恶意技术。对于Dexphot，云中基于机器学习的检测可识别并阻止rundll32.exe加载的DLL ，从而在早期阶段停止攻击链。内存扫描可检测并终止由进程挖空隐藏的恶意代码的加载- 包括尝试通过PowerShell命令更新恶意软件代码并重新感染计算机的监视进程。

行为阻止和遏制功能在克服Dexphot的无文件技术，逃避检测和持久性机制（包括定期和启动时尝试通过计划任务更新恶意软件）方面特别有效。如前所述，鉴于攻击链和Dexphot持久性方法的复杂性，我们发布了一种补救解决方案，该解决方案可通过消除工件来防止再次感染。

用于Dexphot攻击的Microsoft Defender ATP解决方案

端点上Dexphot的检测，阻止和修复在Microsoft Defender安全中心中公开，Microsoft Defender ATP的丰富功能（如端点检测和响应，自动调查和修复）以及其他功能，可使安全运营团队能够调查和补救攻击。企业环境。借助这些功能，Microsoft Defender ATP提供了全面的保护，可抵御Dexphot以及我们每天面临的无数其他复杂和不断发展的威胁。

危害指标样本（IoC）

Installer (SHA-256):

72acaf9ff8a43c68416884a3fff3b23e749b4bb8fb39e16f9976643360ed391f

MSI files (SHA-256):

22beffb61cbdc2e0c3eefaf068b498b63a193b239500dab25d03790c467379e3

65eac7f9b67ff69cefed288f563b4d77917c94c410c6c6c4e4390db66305ca2a

ba9467e0d63ba65bf10650a3c8d36cd292b3f846983032a44a835e5966bc7e88

Loader DLLs (SHA-256):

537d7fe3b426827e40bbdd1d127ddb59effe1e9b3c160804df8922f92e0b366e

504cc403e0b83233f8d20c0c86b0611facc040b868964b4afbda3214a2c8e1c5

aa5c56fe01af091f07c56ac7cbd240948ea6482b6146e0d3848d450977dff152

参考：