Adwind惡意軟體已攻擊了1500多個企業，有什麼獨特的技術？

新聞 07-15

Adwind RAT是一種跨平台、多功能的惡意軟體程序，可以運行在任何支持Java平台的環境中，它能夠通過後門進入到受害者的電腦中，提取數據和遠程控制。截止2017年3月，黑客利用這個後門程序已經對100個國家和地區的1500個企業和組織實施了攻擊，攻擊影響了多個工業領域。

早在2012年初，Adwind RAT首次被發現，專家一開始懷疑它是Frutas RAT，後來隨著新證據的出現，它又被命名為AlienSpy、Frutas、Unrecom、Sockrat、JSocket和jRat，趨勢科技把檢測到的Adwind命名為JAVA_ADWIND。

目前隨著Adwind侵入的操作系統（Windows，Mac OSX，Linux和Android）越來越廣泛，黑客們的攻擊目標和使用的技術也越來越多樣化，他們的最終目的都是想多從受害者那裡撈點錢。

最近Adwind又重新活躍了，這次的主要攻擊目標是針對航空航天領域的企業，其中瑞士，烏克蘭，奧地利和美國是受影響最大的四個國家。

Adwind的重新活躍

事實上，自今年年初以來Adwind的活躍度就一直在穩步上升。根據趨勢科技的統計，從2017年1月的5286次攻擊，上升至6月份117649次。值得注意的是，2017年5月至6月檢測到的JAVA_ADWIND數量增加了107％，這表明黑客正在積極傳播Adwind。

Adwind具有多種攻擊功能，包括收集用戶鍵盤輸入內容、竊取緩存的密碼、從網頁表單中抓取數據、截屏、通過網路攝像頭拍照和錄製視頻、通過麥克風錄音、傳輸文件、收集系統和用戶信息、竊取加密貨幣錢包密匙、管理手機短息以及竊取VPN證書。

Adwind除了通過大規模的垃圾郵件進行傳播，也被用於針對性攻擊甚至將受感染的設備轉變為殭屍網路。2015年8月，Adwind被發現同一起網路間諜攻擊有關，此外Adwind還被用於針對新加坡銀行和丹麥企業的攻擊。經過對Adwind RAT所涉及的攻擊事件進行調查後，我們發現這些針對性攻擊只是其中一小部分。

Adwind以其很強的跨平台適應性而聞名，比如在2014年趨勢科技就發現了一個Android版本的Adwind，此時它已經被添加一個加密的安全性挖掘功能，另外黑客們也可以根據自己的需要自定義Adwind的功能，下圖就是檢測到的2017年1月至6月的JAVA_ADWIND以及Adwind的感染鏈條。

6月份的兩大波垃圾郵件攻擊

趨勢科技在2017年6月7日檢測到第一波使用不同網址將受害者引導到配有間諜軟體功能的.NET編寫的Adwind。第二波在6月14日被檢測到，這次黑客使用不同的域託管其惡意軟體以及命令和控制（C＆C）伺服器。這兩大波攻擊顯然都採用類似的社會工程策略，來誘騙受害者點擊惡意網址，從而發動攻擊。

比如，垃圾郵件的發送人會偽裝成地中海遊艇經紀人協會（MYBA）憲章委員會的主席而且主題也是「2017年的變化 - MYBA憲章協議」，以便讓受害者毫不懷疑地打開此郵件。黑客會使用偽造的發件人地址（info[@]myba[.]net)）和一個看似合法的內容來欺騙受害者點擊惡意URL，下圖就是發送到C＆C伺服器的信息和垃圾郵件。

Adwind的攻擊鏈分析

惡意URL將刪除程序信息文件（PIF），由於 PIF包含有關Windows如何運行MS-DOS應用程序的信息，並且可以像任何可執行文件（EXE）一樣正常啟動。該文件以.NET編寫，用作下載程序，該文件產生的過程首先是要修改系統證書來啟動感染鏈。

研究人員跟蹤惡意PIF文件（TROJ_DLOADR.AUSUDT）的URL，發現它還包含各種網路釣魚和垃圾郵件相關的HTML文件。這些可能是受害者轉移到惡意PIF文件的著陸頁，下圖就是下載程序通過調用Windows API來嘗試修改系統證書的過程以及成功修改的證書。

證書被感染後，將從以下發現的域中提取Java EXE，動態鏈接庫（DLL）和7-Zip安裝程序，作為垃圾郵件操作員濫用的文件共享平台：

hxxps://nup[.]pw/DJojQE[.]7zhxxp://nup[.]pw/e2BXtK[.]exehxxps://nup[.]pw/9aHiCq[.]dll

安裝程序具有包裝功能，其通常由RAT用於調用附加常式而不佔用計算資源，經過分析，包裝器採用Java ARchive文件格式（JAR），趨勢科技將其稱為jRAT-wrapper（JAVA_ADWIND.JEJPCO），它將連接到C＆C伺服器，並在運行時刪除Adwind。

基於jRAT-wrapper的導入標題，它似乎有能力檢查受感染系統的互聯網訪問。另外，它還可以執行反射檢查，檢查Java中的動態代碼生成。這樣程序員就能夠在運行時動態檢查，調用和實例化屬性和類。而對於黑客來說，可以濫用傳統殺毒解決方案的靜態分析。下圖就是下載包裝器（jRAT-wrapper）的PIF文件代碼，利用它檢索有效載荷

下圖就是垃圾郵件操作員濫用的文件託管伺服器的域nup[.]pw

下圖是jRAT-wrapper中混淆的Java類

下圖是jRAT-wrapper的導入標題

下圖專家們在jRAT-wrapper中反編譯的位元組碼

jRAT-wrapper還嘗試連接到另一個C＆C IP地址——174[.]127[.]99[.]234:1033。 jRAT-wrapper還使用Visual Basic腳本（VBS）來收集系統的指紋，特別是安裝的殺毒（AV）產品和防火牆。它也被編碼為在User Temp目錄中刪除並執行JAR文件，並將惡意Java庫複製到Application Data文件夾。然後，它將自己的副本放在當前用戶目錄中，並創建一個持久性自動運行註冊表。

但是，在分析過程中，由於174[.]127[.]99[.]234:1033地址已經被關閉，所以研究人員只能獲得有限的信息。下圖就是收集受感染系統配置的惡意VBS文件和Adwind的功能屬性：

安全研究員Michael Helwig對jRAT-wrapper的研究https://www.codemetrix.net/decrypting-adwind-jrat-jbifrost-trojan/幫助趨勢科技的研究人員解密了有效載荷的屬性。研究人員分析的樣本的配置文件表明，網路流量被設計為被劫持到代理監聽環回地址127[.]0[.]0[.]1:7777。

但是，因為jRAT-wrapper嘗試連接的C＆C伺服器已經無法訪問，所以無法在分析期間記錄任何代理設置。但研究人員推斷出，這個C＆C伺服器是攻擊者有意關閉的。一旦攻擊者在受感染的系統中成功完成了他們想要的功能，就可以關閉它們來防止研究人員對其的進一步分析，另外，託管服務或 ISP實際上也可能被濫用。

據此，研究人員推斷成功的C＆C通信需要C＆C伺服器將代理設置更改為受害者的，下圖就是Adwind配置文件的一部分：

如何預防Adwind的跨平台攻擊

Adwind是一個跨平台的基於Java的惡意軟體，也就是說，預防Adwind的跨平台攻擊，需要一種涵蓋網關，端點，網路，伺服器和移動設備的多層安全方法。除此之外，系統管理員和信息安全專業人員以及使用Java的開發人員也應採用最佳做法來使用和保護Java，並定期保持修補和更新。

由於Adwind的主要感染途徑是垃圾郵件，所以保護電子郵件網關以緩解使用電子郵件作為系統和網路入口點的威脅，可以使用阻止惡意URL的垃圾郵件過濾器。

Adwind的攻擊鏈中的一個關鍵環節是誘騙用戶打開垃圾郵件，所以在點擊之前要仔細觀察，在打開未知或未經請求的電子郵件時要更謹慎。

趨勢科技解決方案

趨勢科技終端解決方案可通過檢測惡意文件和垃圾郵件以及阻止所有相關惡意URL來保護用戶和企業免受這些威脅。趨勢科技Deep Discovery具有電子郵件檢測層，可通過檢測惡意附件和URL來保護企業。

IOC：

與Adwind / jRAT有關的文件和網址：

hxxp://ccb-ba[.]adv[.]br/wp-admin/network/ok/index[.]php

hxxp://www[.]employersfinder[.]com/2017-MYBA-Charter[.]Agreement[.]pif

hxxps://nup[.]pw/e2BXtK[.]exe