銀行木馬利用VMvare進行傳播
背景介紹
銀行木馬與每個人的日常生活息息相關,可能會對每個人造成直接的經濟損失。
思科的研究團隊Talos近日發現一起針對對南美巴西的銀行木馬活動。該木馬活動的對象主要是南美的銀行,通過竊取用戶的證書來非法獲利。除了針對巴西用戶外,還嘗試用重定向等方法來感染用戶的計算機。令人意外的是,該木馬使用了多重反逆向分析技術,而且最終的payload是用Delphi編寫的,而Delphi在銀行木馬中並不常見。
感染傳播Infection Vector
垃圾郵件
與大多數銀行木馬活動類似,該木馬首先利用惡意垃圾郵件進行傳播。攻擊者使用的郵件是用葡萄牙語寫的,看起來更加真實,收到惡意郵件的人更容易打開惡意附件。
該郵件含有一個名為BOLETO2248.html的附件,BOLETO是巴西使用的一種發票。這個HTML文件含有一個簡單的重定向:
重定向
HTML附件中的URL會重定向到goo.gl;然後goo.gl再重定向到 http://thirdculture.tv:80/wp/wp-content/themes/zerif-lite/97463986909837214092129.rar;最後,重定向的鏈接會指向一個名為BOLETO_09848378974093798043.jar的JAR文件。如果用戶雙擊該JAR文件,Java就會執行惡意代碼並開始安裝銀行木馬。
Java執行
Java代碼執行的第一步是設定惡意軟體運行的工作環境,從 http://104.236.211.243/1409/pz.zip 下載需要的其他文件。惡意軟體工作在C:UsersPublicAdministrator directory目錄下。然後,Java代碼會重命名下載的二進位文件,執行之前重命名的vm.png。
惡意軟體載入
首先執行的二進位文件是vm.png,這是經過VMvare簽名的合法的二進位文件。
依賴的二進位文件之一是vmwarebase.dll:
vmwarebase.dll是惡意的二進位代碼而不是合法文件,其他攻擊者使用的技術有PlugX。PlugX背後的理念是:一些安全產品的可信鏈是這樣的,如果一個二進位文件是可信的(本文中的vm.png),那麼它所載入的庫默認是可信的。這種載入技術可以繞過一些安全檢查。
vmwarebase.dll 代碼的作用是注入和執行 explorer.exe或者 notepad.exe中的prs.png代碼。注入是通過遠程進程的內存分配和載入gbs.png庫的LoadLibrary()來執行的。API的使用是通過AES加密來混淆的。
解密結果為
m5ba+5jOiltH7Mff7neiMumHl2s= 是LoadLibraryA
QiF3gn1jEEw8XUGBTz0B5i5nkPY=是kernel32.dll。
銀行木馬
該木馬的主要模塊含有一系列的特徵。比如,會嘗試終止如taskmgr.exe,msconfig.exe, regedit.exe ,ccleaner.exe , ccleaner64.exe這類程序。該模塊會用HKCUSoftwareMicrosoftWindowsCurrentVersionRunVmware Base這樣看似合法的名字進行註冊表登記。
有模塊可以獲取用戶當前窗口的名字,目的是確認用戶是否有下面列表中名字的窗口。
這個列表包含了位於巴西的所有目標金融機構,木馬注入可以允許他們與銀行網站進行交互。主模塊的另一個任務是用rundll32.exe執行最後的二進位文件gps.png。
該庫使用Themida進行封裝,導致很難進行解封。
下面的debug字元串是我們在樣本中發現的,這些字元串是葡萄牙語的:
當受感染的主機執行特定操作的時候,這些字元串就會被發送給C2伺服器。C2的配置在i.dk純文本文件中,該文件使用AES256加密。包含有日期,IP和其他配置項目,如下:
結論
銀行木馬也是安全威脅的一部分,而且在不斷發展。經濟回報是攻擊者的主要動因,也是惡意軟體持續發展的原因之一,Themida這樣的商業封裝軟體使對惡意軟體的分析變得越來越難,而且這種趨勢還在不斷發展。
IOCs
參考來源:
http://blog.talosintelligence.com/2017/09/brazilbanking.htm
*本文作者:ang010ela,轉載請註明來自 FreeBuf.COM
※勒索軟體調查報告 | 2016年到2017年,勒索軟體市場增長了2502%,且勢頭繼續看漲
※如何將自己的樹莓派打造成「滲透測試神器」
※CVE-2017-12617-Tomcat遠程代碼執行漏洞復現測試
※獨家首發 | CVE-2017-11816 GDI信息泄露漏洞分析
TAG:FreeBuf |