[出自:jiwo.org]

Upatre是一个于2013年发现的下载工具，危害主要体现在向受害电脑传播木马程序。最广为人知的事件是曾经与Dyre银行木马捆绑传播，平均每月超过25万台电脑因Upatre感染Dyre，并于2015年7月一度达感染高峰。然而至2015年11月，一个于Dyre操作有关的组织遭到突击搜查，随之Dyre的Upatre传播量急剧下降，到2016年1月，Dyre木马感染量每月不足600台。

今天，Upatre下载工具实际上已经不再被犯罪组织使用。然而，Upatre工具的有趣之一正是其持续的自主适应性，开发人员不断为该工具添加特性和功能以提高这个优势。

2018年3月，42号机组的研究人员收集了2016年12月新编译的Upatre样本，但大多数自动检测系统在很大程度上无法检测到。因此，研究人员对样本进行了分析，以便向那些对此恶意软件及其演变感兴趣的人提供资料。

恶意软件研究发现

Upatre是一个零阶恶意软件，这基本意味着它是一个下载程序。恶意软件用于将有效负载下载并安装到受影响的系统上。有效负载是从硬编码域中检索的，通常是另一种恶意软件。从历史上看，Upatre一直是恶意软件家族(如Dyre、GameOver Zeus、ke8.6、Locky和Dridex)的下载工具。但是，在这种情况下，Upatre没有交付有效载荷。此外，此类变体从目标收集信息并通过HTTP POST请求传输数据。

在分析过程中，研究人员发现了新变体的几个特征和功能。PE头中的属性表明恶意软件是用Visual C ++编写的，并且几个PE部分具有高熵分类，这表明二进制文件是打包的。PE资源部分还包含Google Chrome的图像，因此当二进制文件放置在目标计算机上时，它似乎是Google Chrome网络浏览器的图像。

分析发现，这个变体的一个关键特性是Upatre如何检测它是否在虚拟机中运行。虽然虚拟机检测并非新事物，但在这个变体中，它的处理方式与研究人员此前分析的其他示例略有不同。为了规避检测，新观察到的变量枚举主机上正在运行的进程，生成进程名的CRC32散列值，使用硬编码键0x0F27DC411执行XOR，最后将新计算的值与存储在代码中的数组中的值列表进行比较。

新版Upatre恶意软件的其他显著功能包括：

• 内存中加载代码
• 禁用以下Windows服务：

Windows安全中心

网络连接共享

Windows防火墙

Windows 防御

Windows更新

Windows 网络防御检查服务

• 在Windows 7及更高版本上禁用Windows安全通知悬浮球
• 禁用Internet Explorer仿冒网站筛选
• 禁用Windows用户访问控制通知
• 启动受信任的Windows应用程序msiexec.exe，并使用未记录的技术将代码注入其内存空间
• 大量使用混淆和优化的代码来阻止代码分析
• 使用非必要的Windows API进行堆栈透视以屏蔽预期的API
• 用于单个字符串解码的多层自定义编码。不与其他编码值共享编码例程

结论

Unit42观察到超过119,000个独特的恶意软件样本，早在2014年就有恶意软件使用点阵（.bit）域用于C2基础设施，相关的恶意软件家族包括Necurs，GandCrab，Vobfus，Tofsee，Floxif，Ramnit等等。

研究者表示，由于在分析时C2区域已经下降，考虑到样本的潜在年龄，我们永远无法捕获这个新的Upatre变体的最终有效载荷。但是，对此变体的开源分析确定了另一个配置有相同点位域的样本。样本

94a8b4b22dab4171edde5b1bafbf2f17dbe3c3c4c01335c36ba3b6e5d3635b83是在我们的Upatre样本后六天编译的，而且它通过RIG漏洞利用工具包交付了Chthonic银行木马。虽然在我们的分析过程中没有观察到传递机制，但Upatre通常可通过电子邮件链接/附件或通过受感染的网站到达。

原文转自黑客视界，原文链接：https://www.hackeye.net/threatintelligence/15176.aspx