网络安全公司Proofpoint的研究人员在近日发布的一篇博文中指出，他们在今年5月份发现了之前未被报道过的恶意软件，名为“AdvisorsBot”，主要被用于针对酒店、餐厅和电信行业，并且是由他们所追踪为TA555的黑客组织分发的。 [出自:jiwo.org]

到目前为止，Proofpoint的研究人员表示他们只观察到AdvisorsBot被用作第一阶段的有效载荷（payload）。具体来讲，AdvisorsBot目前仅被用来收集有关受感染系统的各种信息，这很可能意味着TA555目前仍在寻找具有攻击价值的目标，然后才会为AdvisorsBot添加其他模块或者利用AdvisorsBot来下载其他恶意软件。

值得注意的是，TA555目前似乎仍在对AdvisorsBot进行升级改造，因为Proofpoint的研究人员还检测到了该恶意软件的另一个基于PowerShell和.NET重写的版本。

垃圾电子邮件活动分析

Proofpoint的研究人员表示，他们最初在今年5月份检测了目的在于分发AdvisorsBot的垃圾电子邮件活动。到目前为止，这些电子邮件使用了多种不同的主题。第一种是针对酒店的“双倍收费（double charge）”（见图1），第二种是针对餐厅的“食物中毒（food poisoning）”（见图2），第三个是针对电信行业的“简历（resume）”（见图3）。

在5月和6月的活动中，这些诱饵文档包含了一个能够通过执行PowerShell命令来下载和运行AdvisorsBot的恶意宏。在8月8日的活动中，攻击者改变了这种战术，虽然同样是通过恶意宏来执行PowerShell命令，但下载的却是另一个PowerShell脚本。这个脚本会通过执行内嵌的shellcode来运行AdvisorsBot，而不会将其写入磁盘。在8月15日，攻击者做出了一个更大的改变，恶意宏被用于下载并执行了一个PowerShell版本的AdvisorsBot，它被Proofpoint的研究人员命名为“PoshAdvisor”。

图1.针对酒店的“双倍收费（double charge）”电子邮件示例，用于分发AdvisorsBot

图2.针对餐厅的“食物中毒（food poisoning）”电子邮件示例，用于分发PoshAdvisor

图3. 针对电信行业的“简历（resume）”电子邮件示例，用于分发AdvisorsBot

图4.包含恶意宏的诱饵文档示例

恶意软件分析

Proofpoint的研究人员表示，之所以将这个新发现的恶意软件命名为“AdvisorsBot”，是基于它最初的命令和控制（C&C）域名——所有域名都包含了“advisor”一词。最初被发现的AdvisorsBot版本是采用C语言编写的，这一点在后来出现的PoshAdvisor身上发生了变化。

反分析功能

与大多数现代恶意软件一样，AdvisorsBot同样采用了多种反分析方法。其中，最有效的方法之一是使用垃圾代码（例如额外指令、条件语句和循环），从大大减缓逆向工程的速度。例如，通过将恶意软件的x86版本（见图5）和x64版本（见图6）中的同一个函数进行对比我们就能够发现，这两个版本都包含了垃圾代码，但x86版本明显包含得更多。

图5.恶意软件的x86版本包含更多的垃圾代码

图6：x64版本包含的垃圾代码明显要少得多

信息窃取模块

到目前为止，Proofpoint的研究人员表示他们只观察到AdvisorsBot被用于收集有关受感染系统的各种信息，它会执行以下行为并将输出发送回C＆C服务器：

• 截取屏幕截图，使用base64对其进行编码
• 提取Microsoft Outlook帐户详细信息
• 运行以下系统命令：
  • systeminfo
  • ipconfig /all
  • netstat -f
  • net view
  • tasklist
  • whoami
  • net group "domain admins" /domain
  • dir %USERPROFILE%\Desktop
  • wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,pathToSignedProductExe

PoshAdvisor变种

Proofpoint的研究人员表示，他们在8月15日检测到的payload发生了很大的改变。攻击者使用了PowerShell和内嵌在PowerShell脚本中的NET.DLL对AdvisorsBot进行了重写。研究人员将这个变种标识为“PoshAdvisor”，虽然它与AdvisorsBot不完全相同，但确实包含了一些相同的特征。这包括：

• 相同的URI生成和格式；
• 相同的C&C响应格式和加密方式；
• 相同下载模块及执行方式；
• 相同的信息窃取模块。

结论

Proofpoint的研究人员表示，虽然他们并不能确定这个黑客组织是否会在今后的活动中继续分发AdvisorsBot和PoshAdvisor，但这两个具备多种反分析功能和信息窃取模块的恶意软件值得他们进行更深入的调查。尤其是模块化的特性还允许攻击者随时为它们添加新的模块或者利用它们来下载其他恶意软件，以执行其他恶意行为。