概览

BrushaLoader是攻击者常用的一款下载器其用来获取受感染设备的信息，然后根据设备的情况来加载更多的payload。BrushaLoader这样的恶意软件在感染上不仅数量多，质量也很高。以致于攻击者可以绕过安全产品的检测更好地隐藏。同时，如果攻击者选择将勒索软件作为第二阶段payload，加载器也可以传播类似的破坏性的感染。

BrushaLoader是2018年6月首次出现的。截至目前已经过去1年了，但该恶意软件仍然出现在大量攻击活动中。研究人员从C2 panel中找到了该恶意软件的作者名Rusha。

图1: BrushaLoader C2 panel: "Copyright"

分析

BrushaLoader恶意软件执行后，会接收到一个名为PowerEnum的PowerShell，如图2所示。

 图2: rushaLoader传播和后感染活动的HTTP部分

PowerEnum会在受感染的设备上获取指纹信息，并发送数据到C2服务器。通信是通过到BrushaLoader的原始TCP parallel channel来实现的。PowerEnum也用来发送保存在Dropbox中的任务，最近开始保存在Google Drive中。

PowerEnum与BrushaLoader是一体的，而且共享一些C2基础设施。而且研究人员还发现PowerEnum在传播Danabot Affid "4"作为Fallout EK payload，如图3所示。

图3: Fallout EK释放PowerEnum，下载Danabot Affid 4和BackConnect Socks.dll

Payloads

BrushaLoader与Danabot banking Trojan Affid "3"强关联。但这种关联并不是排外的，也就是说它与其他恶意软件也有一定的关系，如图4所示。

 图4: 2018年与BrushaLoader 有关的其他攻击活动

图4中列出了一些关键的事件：

不常见的Payload:

· Ursnif in Italy

· Gootkit in Canada

· Nymaim in Poland

C2 panel

在传播活动中，研究人员发现了BrushaLoader C2 panel，并非常惊讶使用压缩的VBS附件的基本攻击活动竟然成功了。虽然需要一些用户交互，但攻击者仍然成功在36小时内让4000多个计算机被黑，如图5和图6所示。

图5: BrushaLoader C2 panel – 运行几小时之后的受害者分布

图6: BrushaLoader C2 panel – 运行24小时之后的受害者分布

图7: BrushaLoader C2 panel – 运行36小时之后的受害者分布

图8: BrushaLoader C2 panel – 命令和任务

图9: BrushaLoader C2 panel – 主页

 图10:  BrushaLoader C2 panel – Google Drive link

 图11:  BrushaLoader C2 panel – jSloader配置

结论

虽然下载器在攻击活动中也是常用的，但是BrushaLoader与多个第二阶段payload都有关联，比如DanaBot。研究人员在多个恶意软件攻击活动中都发现了BrushaLoader。经过分析发现，加载器的感染成功速率非常高，因此有许多的恶意软件使用它来传播payload。