銀行木馬利用VMvare進行傳播

背景介紹

銀行木馬與每個人的日常生活息息相關，可能會對每個人造成直接的經濟損失。

思科的研究團隊Talos近日發現一起針對對南美巴西的銀行木馬活動。該木馬活動的對象主要是南美的銀行，通過竊取用戶的證書來非法獲利。除了針對巴西用戶外，還嘗試用重定向等方法來感染用戶的計算機。令人意外的是，該木馬使用了多重反逆向分析技術，而且最終的payload是用Delphi編寫的，而Delphi在銀行木馬中並不常見。

感染傳播Infection Vector

垃圾郵件

與大多數銀行木馬活動類似，該木馬首先利用惡意垃圾郵件進行傳播。攻擊者使用的郵件是用葡萄牙語寫的，看起來更加真實，收到惡意郵件的人更容易打開惡意附件。

該郵件含有一個名為BOLETO2248.html的附件，BOLETO是巴西使用的一種發票。這個HTML文件含有一個簡單的重定向：

重定向

HTML附件中的URL會重定向到goo.gl；然後goo.gl再重定向到 http://thirdculture.tv:80/wp/wp-content/themes/zerif-lite/97463986909837214092129.rar；最後，重定向的鏈接會指向一個名為BOLETO_09848378974093798043.jar的JAR文件。如果用戶雙擊該JAR文件，Java就會執行惡意代碼並開始安裝銀行木馬。

Java執行

Java代碼執行的第一步是設定惡意軟體運行的工作環境，從 http://104.236.211.243/1409/pz.zip 下載需要的其他文件。惡意軟體工作在C:UsersPublicAdministrator directory目錄下。然後，Java代碼會重命名下載的二進位文件，執行之前重命名的vm.png。

惡意軟體載入

首先執行的二進位文件是vm.png，這是經過VMvare簽名的合法的二進位文件。

依賴的二進位文件之一是vmwarebase.dll：

vmwarebase.dll是惡意的二進位代碼而不是合法文件，其他攻擊者使用的技術有PlugX。PlugX背後的理念是：一些安全產品的可信鏈是這樣的，如果一個二進位文件是可信的（本文中的vm.png），那麼它所載入的庫默認是可信的。這種載入技術可以繞過一些安全檢查。

vmwarebase.dll 代碼的作用是注入和執行 explorer.exe或者 notepad.exe中的prs.png代碼。注入是通過遠程進程的內存分配和載入gbs.png庫的LoadLibrary()來執行的。API的使用是通過AES加密來混淆的。

解密結果為
m5ba+5jOiltH7Mff7neiMumHl2s= 是LoadLibraryA
QiF3gn1jEEw8XUGBTz0B5i5nkPY=是kernel32.dll。

銀行木馬

該木馬的主要模塊含有一系列的特徵。比如，會嘗試終止如taskmgr.exe，msconfig.exe， regedit.exe ，ccleaner.exe ， ccleaner64.exe這類程序。該模塊會用HKCUSoftwareMicrosoftWindowsCurrentVersionRunVmware Base這樣看似合法的名字進行註冊表登記。

有模塊可以獲取用戶當前窗口的名字，目的是確認用戶是否有下面列表中名字的窗口。

這個列表包含了位於巴西的所有目標金融機構，木馬注入可以允許他們與銀行網站進行交互。主模塊的另一個任務是用rundll32.exe執行最後的二進位文件gps.png。

該庫使用Themida進行封裝，導致很難進行解封。

下面的debug字元串是我們在樣本中發現的，這些字元串是葡萄牙語的：

當受感染的主機執行特定操作的時候，這些字元串就會被發送給C2伺服器。C2的配置在i.dk純文本文件中，該文件使用AES256加密。包含有日期，IP和其他配置項目，如下：

結論

銀行木馬也是安全威脅的一部分，而且在不斷發展。經濟回報是攻擊者的主要動因，也是惡意軟體持續發展的原因之一，Themida這樣的商業封裝軟體使對惡意軟體的分析變得越來越難，而且這種趨勢還在不斷發展。

IOCs

參考來源：

http://blog.talosintelligence.com/2017/09/brazilbanking.htm

*本文作者：ang010ela，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！