一、总结

在过去几个月中，思科Talos一直在监控各种恶意软件分发活动，他们利用恶意软件加载程序Brushaloader向系统提供恶意软件载荷。当前Brushaloader的特点是使用各种脚本，如PowerShell，以最大限度地减少受感染系统上的工件数量。Brushaloader还利用VBScript和PowerShell的组合来创建远程访问特洛伊木马（RAT），允许在受感染的系统上执行持久性命令。

随着攻击者不断改进并添加其他功能，Brushaloader正在积极开发和完善。自2018年中期以来，我们已经确定了该威胁的多次行动。我们观察到的与Brushaloader相关的大多数恶意软件分发活动均利用针对特定地理区域的恶意电子邮件来分发各种恶意软件载荷，主要是Danabot。Danabot已在此处（ here）和此处（ here）详细描述，因此本文将重点介绍Brushaloader自身的分析。Talos最近发现与Brushaloader相关的恶意软件分发活动数量显著增加，各种技术和规避功能以及沙盒逃避的实施导致检测率显著降低。

ThreatGrid中提供的高级命令行审计和报告功能可以更有效的分析Brushaloader等威胁。诸如Brushaloader之类的威胁证明了确保在大多数企业环境中的端点上启用和配置PowerShell日志记录的重要性。

二、BRUSHALOADER的历史

引起我们注意的第一个Brushaloader活动可追溯到2018年8月。最初引人注目，是因为它只使用针对波兰受害者的波兰语电子邮件。虽然通常会看到威胁以多种语言定位用户，但攻击者通常不针对单个欧洲国家/地区。下面是来自该初次攻击活动中一封电子邮件的示例，其中显示了我们期望从Brushaloader获得的特征：包含Visual Basic脚本的RAR附件，该脚本会导致最终下载和执行Danabot的Brushaloader。

这是此电子邮件的另一个特点，它在所有Brushaloader攻击中保留一个主题：“Faktura”或波兰语中的发票。在接下来的几个月中有一些变化，但无论语言如何，发票和结算都将在这些垃圾邮件活动中发挥至关重要的作用。

就附件本身而言，它通常由一个RAR文件组成，其文件名包含单词“faktura”。RAR文件通常包含一个VBScript，可以扩展其他有效载荷。脚本本身已经有一些与沙箱或网络模拟规避有关的有趣技术，我们稍后将在博客中讨论。该脚本没有被严重混淆，并且使用wscript通过HTTP有效的建立了与硬编码IP地址的命令和控制（C2）通信。在此特定攻击活动中查询的网址为：· http://162[.]251[.]166[.]72/about.php?faxid=446708802&opt=.

随着时间的推移，一种模式开始出现：活动持续一到两周，然后在重新启动之前安静几周。 攻击者的作案手法大致相同，波兰语垃圾邮件活动与发票或“Faktura”相关，其中包含一个内部带有恶意VBScript的RAR文件。关于这些活动的一个注意事项是停机时间的变化，攻击者正在改进VBScript试图逃避检测和分析以及如何建立C2通信。让我们来看一些例子。

1.网络模拟规避，多路径C2实施

我们分析的第二个主要活动已经添加了一些功能。最初，威胁试图连接到不存在的域名以检查网络模拟等内容。 第二个活动实现了一个“无限”递归循环，如果该GET请求导致HTTP / 200指示成功响应，则该循环继续重复。这是一个显示新功能的快速屏幕截图。

这个简单的代码片段包括对不存在的域名（www[.]dencedence[.]denceasdq）（1）的GET请求，如果提供HTTP / 200以响应该请求所采取的步骤（2），那么当找到HTTP / 200时，最终进入“无限”递归循环（3）。这是一种优雅、简单的方法，用于确定网络模拟是否正在发生并延迟恶意执行。这些简单的技术在避免某些类型的检测和分析方面非常有效。

几天后推出的攻击活动已经进行了一些其他的修订。早期版本的脚本仅通过硬编码的IP地址进行通信。 此攻击活动在域名和硬编码IP之间实现了随机选择。以下是此类演变的一个示例。

最上面的函数显示初始C2请求。可以看到该请求包含一些新的变量和功能（1），随机选择DaLoweRsxMinsa函数（2）中下面列出的两个选项之一。 在这里，可以看到硬编码的IP地址（192[.]3[.]204[.]226）和响应相同路径但托管在不同服务器上的域名（emailerservo[.]science）。随着时间的推移，这一特定功能将在接下来的几个月内保持一些微妙的变化。

2.添加到混淆的合法URL

在接下来的几个攻击活动中，在9月底和10月初，在使用不存在的域名以及尝试混淆C2通信方面进行了细微的更改，但没有发生重大变化。10月初，攻击者添加了第三个合法域名，如下所示：

在这里，攻击者已经将google[.]com添加到C2通信的潜在来源。在接下来的几个月里，合法网站包括www[.]ti[.]com和www[.]bbc[.]com等网站。这是沙盒逃避的另一种简单方法，其中VBScript定期只会向合法域发送请求。

3.简洁版本出现

2018年10月期间发生了更为重大的变化，删除不存在域名的检查，在wscript中实现注册表检查，以尝试从注册表中读取值。使用此进行某些权限检查，但所有用户都可以查询HKEY_CURRENT_USER。下面是该检查实施时的屏幕截图。

这种检查和功能相对来说是短暂的，因为在10月的最后几天，攻击者完全脱离了WScript，并将大部分功能直接转移到了Internet Explorer。除了切换到Internet Explorer进行Web通信之外，VBScript也得到了极大的简化，从一个4KB的文本文件变为小于1KB。 下面是整个VBScript的屏幕截图。 删除了大多数检查和规避技术，除了一些扩展的sleep命令以便使一些沙盒技术超时。

请注意，突出部分显示了脚本创建与C2服务器通信的不可见IE实例。此外，攻击者们完全停止使用域名，并使用硬编码的IP地址返回托管所有内容。

4.新攻击针对新语言

也是在这个时候，思科Talos开始观察到垃圾邮件活动，开始定位除波兰语之外的语言。第一个涉及多种语言的活动在同一时间推出，德语活动的一个例子如下所示。

此特定活动的主题侧重于所得税申报表。但是，电子邮件的正文引用了未付账单的附件，如果不汇款，则会对收件人提起法律诉讼。 攻击者还利用了“Faktura”转换为德语结算这一事实，而不是波兰语的发票。

在11月中旬之后的几周，攻击者开始重新实现一些不存在域名的检查，其示例如下所示。

在这个特定的实例中，攻击者会向http://someserver/folder/file[.]pdff发出一个HTTP请求，如果找到HTTP / 200则实现一个循环。几天后，攻击者再次转移，从使用硬编码IP地址转向利用域名进行初始C2通信。

5.11月底大修

11月底的活动带来了VBScript的全面重新实施，实现了一些改进。 第一个变化是VBScript首先创建一个文件系统对象，它允许攻击者开始读取和写入磁盘文件。

该脚本启动下面的函数，该函数立即使用文件系统对象。

WriteFile和readFile函数如下所示，允许将文件写入系统并由脚本读回。请注意，这些呼叫之间有几秒钟的睡眠时间。

WriteFile函数专门在临时文件夹中创建一个文件，然后将ASCII文本“test”与vbCrLf一并写入文件，这是VBScripting早期的遗留物，有效地返回值“\ r \ n” 创建一个新行。 然后，readFile函数读取包含“test”的行，并将其存储在变量strLine中供稍后使用。

然后攻击者引入了有效的睡眠函数，然后调用函数HttpsSend。这是C2通信中发生的一些重大变化。下面是HttpsSend函数。

这里有一些重要的变化需要注意。 首先是攻击者已经转向HTTPS，并正在使用域名而不是硬编码的IP。此外，请求类型已从GET更改为POST。发出请求后，响应将被存储并最终进入数组。 此时，在调用另一个函数Emulator之前，将实现另一个10秒的快速睡眠，如下所示。

Emulator函数正在检查以确保先前在脚本中创建和写入的文件有效，并从文件中读取存储行的值为“test”。如果文件具有预期的内容，则脚本将执行上面查询的C2服务器发送的任何命令，并将其存储到数组“ArrAddMyArray”中。 回到主函数，可以看到这是在一个while循环中完成的，它允许重复的请求和执行。

本节中描述的所有各种活动都是适度的，并在11月底停止。攻击者和loader在12月和1月的大部分时间保持安静。然而，1月下旬和2月初情况发生了变化。

三、当前的攻击活动

1月下旬，一个新的垃圾邮件活动开始发布包含Visual Basic脚本（.vbs）的恶意RAR文件。当时大多数垃圾邮件都是波兰语，针对波兰用户。所有文件名和主题都集中在发票上，通常使用“Faktura”或类似术语。此活动从主要以波兰语为基础的电子邮件开始，这是此loader的典型情况，其示例如下所示。

这遵循我们期望从brushaloader活动中获得的标准模板，以波兰语中的“Faktura”为主题，并附带包含恶意VBScript文件的附加RAR文件。 此攻击的另一个有趣方面是活动中存在多种其他语言。最值得注意的是，我们还发现了其他意大利语垃圾邮件，其中一个例子可以在下面找到。

意大利语版本有一些细微差别。具体来说，他们使用“Fattura”而不是“Faktura”，主要是因为“Fattura”是意大利语中“发票”这个词。基本模板相同，包含一个包含恶意VBS文件的发票主题RAR文件。

就附件而言，11月底的前一版本还有一些额外的改进，但整体功能基本相同。

此活动中最重要的变化之一是向PowerShell迁移，远离以前用于执行命令、收集系统信息和提供额外有效载荷的wscript。此外，此活动的规模与我们之前从Brushaloader未见过的规模相当，可能表明loader已准备好进行更广泛的分发，并且有可能在欧洲以外的地区实现。新功能的完整细节将在博客的后续部分中介绍，以便更深入的了解发生的HTTPS C2通信。

这场运动在2月的第一周结束，此后活动大部分都是黑暗的。在过去的半年中，Brushaloader已经从一个基于VBScript的新loader转变为越来越先进且日益扩散的威胁。下面的时间表说明了Brushaloader的发展有多么积极。Brushaloader将成为继续前进的有趣威胁。

四、逃逸/反分析技术

在许多企业网络中，引入环境的文件会自动提交给自动分析平台，例如沙箱，它将执行文件并观察系统活动，以确定文件是恶意的或良性的，然后才能将文件传输到最初的系统。威胁行为者了解这些安全控制措施，并经常采用创新机制绕过它们。在大多数情况下，这些机制旨在最大限度地减少恶意文件活动的数量，以便自动分析平台不会将文件检测为恶意文件，并允许将其进一步传输到网络环境中。

有一些技术使用sleep定时器，设置恶意软件在恢复恶意执行之前等待预定义的时间段。在其他情况下，恶意软件分发者会利用受密码保护的电子邮件附件，要求用户在打开附件之前输入信息。这些技术通常是成功的，因为许多自动检测和分析平台没有设计此交互模型，因此无法正确启动感染。Brushaloader也不例外，我们最近观察到利用多种技术来最大化Brushaloader感染的成功率。

1.用户互动

在过去几个月的Brushaloader攻击活动中，我们观察到的一项变化是使用恶意软件下载程序，这些下载程序需要用户在受感染系统上执行恶意行为之前进行交互。攻击者通常会利用需要用户交互的感染进程来绕过自动分析平台（如沙箱）。

对于Brushaloader，恶意电子邮件包含RAR档案。RAR存档通常包含VBScript（VBS），负责向攻击者控制的分发服务器发出HTTP请求来下载恶意PE32可执行文件。VBScript调用一个对话框，打印斐波纳契数列字符：

默认情况下，执行VBS时，系统上会显示以下对话框。

在选择“确定”按钮之前，VBS文件中存在的下载器函数不会激活。这种用户交互要求可能会导致许多自动分析平台出现问题，这些平台未配置为正确处理此类要求。与大多数商品恶意软件分发商使用的下载器相比，这种方法通常会导致检测率显著降低。

2.假域名

在各种Brushaloader攻击活动中利用的下载程序脚本也使用无效域名作为确定下载程序是否在网络模拟分析环境中执行的方法。在许多恶意软件分析环境中，网络模拟允许分析人员与恶意软件样本进行交互，即使恶意软件请求的资源不可用。当C2基础架构不再可用时，或者在缺乏Internet连接的环境中进行分析时，这尤其有用。有几个可用的实用程序提供此功能 - 最常用的两个是inetsim和FakeNet-NG。

在Brushaloader中，他们甚至使用不存在的顶级域名（如www[.]weryoseruisasds[.]oedsdenlinsedrwersa或仅仅是用主机名取代是像someserver这样的合法域。显然，这些域名都不能解析，它可以进行简单的测试，以确定是否正在使用网络模拟。在某些方面，此技术还可用于帮助检测受感染的主机，并从另一方面说明了为什么记录DNS解析可以成为分析人员和安全团队的宝贵工具。

五、LOADER功能

一旦初始感染过程开始，就开始执行先前描述的多阶段VBS。受感染的系统向C2基础设施发出HTTP POST请求。然后，脚本引擎执行对HTTP POST请求的响应。服务器发送WScript.Sleep命令会延迟此循环。

第一阶段VBS负责执行以下编码的PowerShell命令：

此编码的PowerShell执行三次并解码为：

这会导致对C2基础设施的HTTP请求以及要获取和执行的另一组PowerShell命令。

这个PowerShell一旦解码，看起来像这样：

此代码负责与受感染系统建立远程交互式会话，然后在受感染系统上执行命令获得取命令输出。此时，脚本循环，等待从C2基础设施发送的其他命令。该通信信道还用于各种Powershell命令的获取和执行，这些命令负责使用收集和传输有关系统的信息。

上面的Powershell传递给IEX并执行，结果传回C2服务器：

从上面的屏幕截图中可以看出，loader尝试枚举被感染系统的以下信息：

· ProcessorId

· Windows操作系统版本

· 当前登录用户

· 已安装的防病毒产品

· 系统制造/制造商

· Powershell版本

· IP地址信息

· 有效内存

· 当前的工作目录

· 系统安装日期/时间

· 显示适配器信息

然后，所有这些信息可用于确定是否使用其他恶意软件有效载荷感染系统，或者在模块化恶意软件框架（例如Danabot）的情况下应将哪些模块分发到系统。在我们观察到的感染中，这是分发给受感染系统的最终有效载荷。

在受感染系统上运行的Powershell进程还通过创建添加到系统Startup目录的Windows快捷方式（LNK）来实现持久性：

LNK快捷方式包含Powershell，它负责查询注册表项的内容，以便在每次重启系统时执行其他命令。

此注册表位置包含以下Powershell：

以上Base64编码的Powershell解码为：

这会导致恶意软件通过HTTPS与C2服务器通信，获取C2发送的任何可用命令。

六、攻击活动随时间变化

自2017年中期以来，思科Talos一直在监控与Brushaloader相关的恶意软件分发活动。从历史上看，与其他商品恶意软件分发活动（例如Emotet）相比，活动数量相对较少。 在我们分析的大多数情况中，大多数分发活动发生在每个月末。但最近，一切改变了，我们观察到malspam活动的数量和持续时间显著增加。

下面的图表显示了当前分发活动与2018年大部分时间观察到的活动量的比较。

除了分发活动的数量的变化之外，我们还观察到与预期恶意电子邮件收件人的相关统计数据的变化。最初，这些攻击活动使用了相对较窄的定位，其中大部分电子邮件都是针对波兰的收件人量身定制的，我们观察到新的攻击活动也针对德国、意大利和其他国家/地区的目标接收者。

七、总结

威胁形势正在发生变化 - 恶意软件和分发恶意软件的机制（如Brushaloader）也是如此。本文概述了这些loader如何不断变化和发展的另一个关键例子。使Brushaloader脱颖而出的原因是威胁攻击者正在迅速的改进loader，它正在积极开发中。此外，值得注意的是，经过12月和1月的长时间休息后，loader已经开始大规模爆发。从专门针对波兰用户的小规模活动开始，无论是规模还是目标国家都在扩大。Brushaloader所做的区域特定限制策略并不常见。

这也是这些loader可以拥有的混淆和复杂程度的关键例子。这个简单的基于VBS的活动以最少量的代码实现了几种巧妙的规避和混淆技术，表明攻击者将继续思考，并开发新的方式来向用户传递威胁。这就是为什么用户需要在全球范围内具有可见性的组织的原因，因为这个成功的loader开始被其他想要传递威胁的攻击者利用只是时间问题。我们将继续监控这一威胁及其提供的有效载荷，并将继续保持警惕，保护我们的客户。

IOC

恶意附件

RAR FILES

与恶意RAR存档关联的哈希列表参见此处（ here）。

VBS FILES

与恶意VBS文件关联的哈希列表参见此处（here）。

域名

· cheapairlinediscount[.]site· emailerservo[.]science· faxpctodaymessage[.]press· faxpctodaymessage[.]space· faxpctodaymessage[.]website· faxzmessageservice[.]club· fazadminmessae[.]info· housecleaning[.]press· hrent[.]site· i·repare[.]site· macmall[.]fun· managerdriver[.]website· mantorsagcoloms[.]club· mediaaplayer[.]win· mobileshoper[.]science· plomnetus[.]club· ppservice[.]stream· progresservesmail[.]science· proservesmail[.]science· proservesmailing[.]science· searchidriverip[.]space· servemai[.]science· servemaining[.]science· serveselitmail[.]science· serveselitmailer[.]science· servesmailelit[.]science· servesmailerpro[.]science· servesmailerprogres[.]science· servespromail[.]science· servicemaile[.]science· serviveemail[.]science· servoemail[.]science· servomail[.]science

IP 地址

· 107[.]173[.]193[.]242· 107[.]173[.]193[.]243· 107[.]173[.]193[.]244· 107[.]173[.]193[.]246· 107[.]173[.]193[.]247· 107[.]173[.]193[.]248· 107[.]173[.]193[.]249· 107[.]173[.]193[.]250· 107[.]173[.]193[.]251· 107[.]173[.]193[.]252· 107[.]173[.]193[.]253· 162[.]251[.]166[.]72· 172[.]245[.]159[.]130· 185[.]212[.]44[.]114· 192[.]3[.]204[.]226· 192[.]3[.]204[.]228· 192[.]3[.]204[.]229· 192[.]3[.]204[.]231· 192[.]3[.]204[.]232· 192[.]3[.]204[.]233· 192[.]3[.]204[.]234· 192[.]3[.]204[.]235· 192[.]3[.]204[.]236· 192[.]3[.]204[.]237· 192[.]3[.]207[.]115· 192[.]3[.]207[.]116· 192[.]3[.]207[.]117· 192[.]3[.]207[.]118· 192[.]3[.]207[.]119· 192[.]3[.]207[.]120· 192[.]3[.]207[.]123· 192[.]3[.]207[.]124· 192[.]3[.]207[.]125· 192[.]3[.]207[.]126· 192[.]3[.]31[.]211· 192[.]3[.]31[.]214· 192[.]3[.]45[.]90· 192[.]3[.]45[.]91· 192[.]3[.]45[.]92· 192[.]3[.]45[.]93· 192[.]3[.]45[.]94· 64[.]110[.]25[.]146· 64[.]110[.]25[.]147· 64[.]110[.]25[.]148· 64[.]110[.]25[.]150· 64[.]110[.]25[.]151· 64[.]110[.]25[.]152· 64[.]110[.]25[.]153· 64[.]110[.]25[.]154

假域名 (沙箱逃避)

· www[.]analiticsmailgooglefaxidload[.]onlinsedsa· www[.]wewanaliticsmailgooglefaxidload[.]oeenlinsedsa· www[.]lovisaaa[.]oedsdenlinsedrwersa· www[.]weryoseruisasds[.]oedsdenlinsedrwersa· www[.]dencedence[.]denceasdq· www[.]goooglwas[.]freesaf· dgdfgdfgdfg· faxdaytodayd· mailsssssssssssdddaas[.]com· mailsmessage[.]comssaaa· mailsmaasessage[.]comssssaaa· sssaaalllsaallsaaaasssaaa[.]comssssaaa· lvelalslllasaasss[.]lllassaassaa· 1122212121212[.]1221212· 00000000000000[.]11111111· 11111[.]222222222222· someserver· someserversdfdfdf[.]111· www[.]wikipedia[.]000212[.]nl· wikipedia[.]112000212[.]com