Bumblebee 惡意軟體帶著新感染技術迴歸

使用後開發框架交付有效負載

在我們的例行威脅搜尋活動中，Cyble Research & Intelligence Labs (CRIL) 發現了一條 Twitter 帖子，其中一位研究人員提到了一個有趣的 Bumblebee 載入程式惡意軟體感染鏈，該惡意軟體通過垃圾郵件活動傳播。

Bumblebee 是 BazarLoader 惡意軟體的替代品，它充當下載器並提供已知的攻擊框架和開源工具，如 Cobalt Strike、Shellcode、Sliver、Meterpreter 等。它還下載其他型別的惡意軟體，如勒索軟體、木馬等。

技術細節

最初的感染源於一封帶有密碼保護附件的垃圾郵件，該附件包含一個 .VHD（虛擬硬碟）擴充套件檔案。

VHD 檔案包含兩個檔案。第一個名為“Quote.lnk”，第二個是隱藏檔案“imagedata.ps1”。LNK 快捷方式檔案具有執行檔案“imagedata.ps1”的引數，該檔案進一步將 Bumblebee 有效負載載入到 PowerShell 的記憶體中。圖 1 顯示了 VHD 檔案及其內容，以及 LNK 檔案屬性。

圖 1 – VHD 的內容和 LNK 檔案的屬性

LNK 使用以下目標命令列來執行 PowerShell 指令碼“ imagedata.ps1”

• C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ep bypass -file imagedata.ps1

第一階段 PowerShell 載入程式

在執行“imagedata.ps1”檔案時，它會隱藏 PowerShell 視窗並在後臺悄悄執行 PowerShell 程式碼。預設情況下，該惡意軟體使用–windowstyle hidden PowerShell 命令來隱藏 PowerShell 視窗。但是，在這種情況下，惡意軟體使用備用命令ShowWindow來逃避防病毒掃描程式的檢測。下圖顯示了用於隱藏 PowerShell 視窗的程式碼片段。

圖 2 – 隱藏 PowerShell 視窗的程式碼片段

PowerShell 指令碼包含的字串被拆分為多行，稍後連線起來以供執行。這是惡意軟體用來逃避防病毒產品檢測的技術之一。下圖顯示了混淆的 Base64 編碼流，這些流使用“insert”和“remove”關鍵字進行了規範化，並存儲在一個列表中，如下所示。

圖 3 – 混淆的 Base64 編碼流

接下來，惡意軟體遍歷規範化的 Base64 元素列表，連線它們，使用[System.Convert]::FromBase64String方法對其進行解碼，最後使用[System.IO.Compression.CompressionMode]::Decompress方法執行 gzip 解壓縮操作. gzip解壓後的資料包含第二階段的PowerShell指令碼，由“Invoke-Expression”進一步執行，如下圖所示。

圖 4 – 解壓和呼叫第二階段 PowerShell 指令碼

第二階段 PowerShell 載入程式

此 PowerShell 指令碼包含一個大型程式碼塊，可將嵌入式 DLL 有效負載載入到“powershell.exe”的記憶體中。第二階段 PowerShell 程式碼也採用了與第一階段相同的混淆技術，如下所示。

圖 5 – 混淆的第二階段 PowerShell 指令碼

該惡意軟體利用 PowerSploit 模組執行。PowerSploit 是一個開源後利用框架，其中惡意軟體使用 Invoke-ReflectivePEInjection 方法將 DLL 反射式載入到 PowerShell 程序中。此方法驗證嵌入檔案並執行多項檢查，以確保檔案在執行系統上正確載入。

下圖顯示了“PowerShell.exe”記憶體中的第二階段 PowerShell 指令碼與 GitHub中的Invoke-ReflectivePEInjection程式碼之間的程式碼相似性。

圖 6 – 程式碼相似性

第二階段 PowerShell 指令碼包含一個位元組陣列，其中第一個位元組被替換為 0x4d 以獲取實際的 PE DLL 檔案，如下所示。此 DLL 檔案是執行其他惡意活動的最終 Bumblebee 有效負載。

圖 7 – 嵌入式有效載荷

下圖展示了使用Invoke-ReflectivePEInjection函式注入到 Powershell 程序記憶體中的 DLL 有效負載 (LdrAddx64.dll) 。DLL 是反射載入的，可避免被用於識別活動/執行程序的 DLL 的工具檢測到。

圖 8 – PowerShell 記憶體中存在注入的 DLL

Bumblebee 有效載荷

圖 9 顯示了最終 Bumblebee 惡意軟體有效載荷的檔案資訊。根據我們的靜態分析，我們發現負載是一個 64 位的 DLL 二進位制檔案，使用 Microsoft Visual C/C++ 編譯器編譯。

圖 9 – 有效負載檔案詳細資訊

2022 年 6 月，我們釋出了關於 Bumblebee 載入程式的技術 部落格。 研究表明，我們分析的當前變體的有效載荷行為與我們之前分析的類似。

結論

Bumblebee 是一種最近開發的惡意軟體載入程式，除了取代現有的 BazarLoader 之外，它已迅速成為各種網路攻擊的關鍵元件。為了領先於網路安全實體，黑客 (TA) 不斷採用新技術並持續監控，以隨時瞭解企業採用的防禦機制。同樣，複雜的 Bumblebee 裝載機背後的 TA 不斷更新其功能，以加強其規避機動和反分析技巧。

CRIL 一直在密切監視 Bumblebee 惡意軟體組和其他類似的 TA 組，以便更好地瞭解他們的動機，並讓我們的讀者瞭解最新的網路犯罪新聞和網路安全挑戰。

建議

1. 請勿在未驗證其真實性的情況下開啟不受信任的連結和電子郵件附件。
2. 教育員工如何保護自己免受網路釣魚/不受信任的 URL 等威脅。
3. 避免從未知網站下載檔案。
4. 儘可能使用強密碼並實施多因素身份驗證。
5. 在計算機、移動裝置和其他連線的裝置上開啟自動軟體更新功能。
6. 在連線的裝置（包括 PC、膝上型電腦和移動裝置）上使用知名的防病毒和網際網路安全軟體包。
7. 阻止可能傳播惡意軟體的 URL，例如 Torrent/Warez。
8. 監控網路級別的信標，以阻止惡意軟體或 TA 洩露資料。
9. 在員工系統上啟用資料丟失防護 (DLP) 解決方案。

MITRE ATT&CK®技術

策略	技術編號	技術名稱
初始訪問	T1566	網路釣魚
執行	T1204 T1059	使用者執行 PowerShell
許可權提升	T1574 T1055	DLL 側載入 程序注入
防禦規避	T1027 T1497 T1574	混淆檔案或資訊 虛擬化/沙盒規避 DLL 側載
發現	T1012 T1082 T1518	查詢登錄檔 系統資訊發現 安全軟體發現

IoC

指標	指標型別	描述
59fc33d849f9ad2ab4e4b7fe4b443a33 e4ed0f94e8ad9aeeb019e6d253e2eefa83b51b5a 2102214c6a288819112b69005737bcfdf256730ac859e8c53c9697e3f87839f2	MD5 SHA1 SHA256	VHD 檔案
b3b877f927898a457e35e4c6a6710d01 8ed3dfa1ece8dbad0ccc8be8c1684f5a3de08ccb 1285f03b8dbe35c82feef0cb57b3e9b24e75efabba0589752c2256a8da00ad85	MD5 SHA1 SHA256	LNK 檔案
254d757d0f176afa59ecea28822b3a71 3e59fff860826055423dde5bbd8830cceae17cf3 0ff8988d76fc6bd764a70a7a4f07a15b2b2c604138d9aadc784c9aeb6b77e275	MD5 SHA1 SHA256	PS1 檔案 – 第 1 階段
225b9fb42b5879c143c56ef7402cbcbc 03369886e9fc4b7eacc390045aa9c4b7fffad69a db91155087bd2051b7ac0576c0994e9fffb5225c26ea134cb2f38e819f387	MD5 SHA1 SHA256	PS1 檔案 – 第 2 階段
da6feac8dff2a44784be3d078f2d4ac3 c0f43d1d3e87b0e8b86b4b9e91cb55b4a1893b48 9bd9da44cc2d259b8c383993e2e05bbe1bcdac917db563b94e824b4b1628e87c	MD5 SHA1 SHA256	Bumblebee DLL 有效負載