跨平台惡意軟體Adwind捲土重來，這一次倒霉的是航空航天領域

新聞 07-19

網路犯罪分子其實都是機會主義者，隨著各類操作系統的應用範圍越來越廣泛，他們也在不斷地豐富自己的

工具和技術。與此同時，為了儘可能地在網路犯罪活動中謀取更多的經濟利益，犯罪分子們在選擇受攻擊目標時也呈現出一種多樣化的趨勢。這也是惡意軟體的價值主張，現在越來越多的惡意軟體已經實現了跨平台感染，如果能夠配合一種專門的商業模式來向其他的壞人兜售這些惡意軟體的話，那麼這些惡意軟體的影響範圍還會進一步擴大。

今天的主角是Adwind/jRAT，趨勢科技將其標識為JAVA_ADWIND。這是一款跨平台的遠程訪問木馬（RAT），它可以感染任何安裝了Java的設備，包括Windows、macOS、Linux和Android平台。近期，我們在一次垃圾郵件活動中再一次檢測到了Adwind。但這一次，它主要針對的是航空航天工業領域的企業，受影響比較嚴重的國家地區包括瑞士、烏克蘭、澳大利亞和美國。

Adwind異常活躍

從今年年初開始，Adwind被檢測到的頻率就一直在穩步增長，從2017年1月份的5286次猛增到了6月份的117649次，而且我們基本上都是在垃圾郵件活動中檢測到的JAVA_ADWIND。值得注意的是，2017年5月到6月之間，JAVA_ADWIND的出現頻率增長了107%，這也表明網路犯罪分子正在積極地推送和傳播Adwind。

研究人員表示，Adwind/jRAT可以竊取用戶憑證、收集和記錄鍵盤信息、保存屏幕、電影或視頻截圖、以及從目標主機中提取數據。此前曾有攻擊者利用Adwind的變種版本攻擊銀行和丹麥企業，Adwind甚至還可以用受感染設備組成殭屍網路。

作為一款臭名昭著的跨平台RAT，Adwind還有很多其他的「昵稱」，例如jRAT、UNRECOM、AlienSpy、Frutas和 JSocket等等。在2014年，我們還發現了Android版本的Adwind/jRAT，令人驚訝的是，這個Android版本的Adwind竟然具備了挖礦的能力（涉及區塊鏈和加密貨幣）。實際上，Adwind是作為一種服務來進行出售的，這也就意味著任何一位網路犯罪分子都可以根據自己的需要來修改和定製自己的Adwind版本。

下圖顯示的是研究人員在2017年1月至6月期間檢測到JAVA_ADWIND的次數：

下圖為Adwind的感染鏈：

垃圾郵件活動主要通過兩種方式進行

我們所觀察到的垃圾郵件活動主要有兩波，而且都可以作為社會工程學的典型應用案例。我們在2017年6月7日觀察到了第一波感染，當時Adwind使用了不同的URL地址來向目標用戶傳播由.NET編寫的惡意軟體，而且這些惡意軟體還具備間諜軟體的功能。第二波感染在6月14日被觀察到，當時Adwind使用了不同的域名來託管惡意軟體和C&C伺服器。這兩波感染使用的都是相似的社會工程學技巧，即欺騙用戶去點擊惡意URL地址。

攻擊者會假冒地中海遊艇委員會（MYBA）來向目標用戶發送垃圾郵件，垃圾郵件的主題欄中寫的是「Changes in 2017 – MYBA Charter Agreement」，並通過這種方式嘗試給潛在的目標用戶造成緊迫感。除此之外，攻擊者不僅使用的是偽造的發件人地址（info[@]myba[.]net），而且還會在郵件中提供看似合法的內容來欺騙用戶點擊惡意URL鏈接。

下圖為發送至C&C伺服器的消息截圖：

下圖為垃圾郵件截圖：

分析Adwind的攻擊鏈

惡意URL鏈接將會投放一個程序信息文件（PIF），PIF中包含關於Windows如何運行MS-DOS應用的信息，並且可以像普通可執行程序（EXE）一樣直接運行。這個文件採用.NET編寫，其功能相當於一個下載器。在成功修改了系統證書之後，這個PIF文件便會啟動Adwind的感染鏈。

我們跟蹤的URL指向的是一個惡意PIF文件（TROJ_DLOADR.AUSUDT）,其中包含各種與網路釣魚和垃圾郵件相關的HTML文件，而這些HTML頁面很有可能就是攻擊者用來欺騙目標用戶點擊惡意URL時所用的。

下載器會通過調用Windows API來嘗試修改系統證書：

如下圖所示，惡意代碼成功修改了證書：

系統證書被惡意篡改之後，下載器便會從一個域名下載Java EXE、動態鏈接庫DLL和7-Zip安裝程序，而這個域名指向的是垃圾郵件操作者所使用的文件共享平台：

hxxps://nup[.]pw/DJojQE[.]7z hxxp://nup[.]pw/e2BXtK[.]exe hxxps://nup[.]pw/9aHiCq[.]dll

下圖顯示的是垃圾郵件操作者所使用的文件託管伺服器域名：

應對措施

Adwind是一款基於Java的跨平台惡意軟體，所以網關、終端節點、網路、伺服器和移動設備都有可能受其影響。廣大IT/系統管理員、信息安全專家和開發者/程序員在使用Java工作時應該遵守最佳的Java安全實踐，並隨時保持Java版本為最新版。

在Adwind攻擊鏈中，最重要的一個環節就是社會工程學技術了，這也表明我們現在急需對企業員工進行網路安全意識教育，並培養員工對垃圾郵件的敏感度：當你打開一份電子郵件時，你在進行任何點擊操作之前一定要三思而後行。

Adwind的主要感染向量為垃圾郵件，這也突出了保護郵件網關安全的重要性。電子郵件作為系統和網路的一個入口點，廣大管理員應該部署垃圾郵件過濾器、安全策略和電子郵件安全機制來緩解這種基於電子郵件的安全威脅。除此之外，管理員還應該部署最佳實踐方案來防止類似Adwind這樣的惡意軟體從你的網路（涉及BYOD）中竊取重要數據。

IoC入侵檢測指標

與Adwind/jRAT相關的文件和URL：

hxxp://ccb-ba[.]adv[.]br/wp-admin/network/ok/index[.]php

hxxp://www[.]employersfinder[.]com/2017-MYBA-Charter[.]Agreement[.]pif

hxxps://nup[.]pw/e2BXtK[.]exe

hxxps://nup[.]pw/Qcaq5e[.]jar

相關哈希值:

3fc826ce8eb9e69b3c384b84351b7af63f558f774dc547fccc23d2f9788ebab4(TROJ_DLOADR.AUSUDT)

c16519f1de64c6768c698de89549804c1223addd88964c57ee036f65d57fd39b(JAVA_ADWIND.JEJPCO)

97d585b6aff62fb4e43e7e6a5f816dcd7a14be11a88b109a9ba9e8cd4c456eb9(JAVA_ADWIND.AUJC)

705325922cffac1bca8b1854913176f8b2df83a70e0df0c8d683ec56c6632ddb(BKDR64_AGENT.TYUCT)

相關C&C伺服器：