解析針對巴西用戶的惡意軟體及垃圾郵件行動

FireEye實驗室最近發現了幾起針對巴西公司的大範圍masepam（惡意軟體垃圾郵件）行動，旨在傳播銀行木馬。我們將這些行動稱為Metamorfo。在行動的各個階段中，我們觀察到使用多種策略和技術來逃避檢測並提供惡意payload。本文中，我們剖析了兩個主要的行動，並解釋了其工作原理。

一、行動#1

kill鏈以包含HTML附件的電子郵件開始，該附件帶有使用Google短URL為目標的刷新標記。圖1顯示了一個示例電子郵件，圖2顯示了HTML文件的內容。

圖1：帶HTML附件的惡意電子郵件

圖2：HTML文件的內容

載入URL後，它會將受害者重定向到一個雲存儲站點，例如GitHub，Dropbox或Google Drive以下載ZIP文件。圖3顯示了一個例子。

圖3：短URL重定向到Github鏈接

ZIP文件包含一個嵌入HTML應用程序（HTA）的惡意可移植PE文件。用戶必須解壓縮並雙擊感染鏈的可執行文件才能繼續。 PE文件是一個編譯成可執行文件的簡單HTA腳本。當用戶雙擊可執行文件時，惡意HTA文件被解壓縮到％temp％並由mshta.exe執行。

HTA腳本（圖4）包含VBS代碼，該代碼從hxxp:///ilha/pz/logs.php中獲取base64格式編碼的第二個VBS代碼塊。

圖4：HTA文件的內容

第二階段的VBS解碼後（圖5和圖6），腳本從hxxp:///28022018/pz.zip下載最後一個階段。

圖5：解碼的VBS的內容

圖6：解碼後VBS的更多內容

下載的ZIP文件包含四個文件。其中兩個是PE文件,一個是合法的Windows工具pvk2pfx.exe，用於DLL載入，一個DLL是惡意銀行木馬。

VBS代碼解壓縮文件，將合法Windows工具的擴展名從.png更改為.exe，並將惡意DLL重命名為cryptui.dll。VBS代碼還使用隨機字元串寫入C： Users Public Administrador car.dat文件。這些隨機字元串用於命名Windows工具，然後執行該工具。由於此工具依賴於名為cryptui.dll的合法DLL，搜索路徑按順序將在同一目錄中找到具有相同名稱的惡意木馬並將其載入到進程空間中。

在2017年第4季度，類似的masepam活動通過使用電子郵件中附帶的嵌入式JAR文件而不是HTML附件來傳播相同的銀行木馬。執行時，Java代碼從雲端文件託管站點（例如Google Drive，Dropbox或Github）下載ZIP壓縮文件。ZIP文件包含一個合法的微軟工具和惡意木馬。

（一）銀行木馬分析

該木馬與其他三個文件預計位於硬編碼目錄C:\ Users\Public\Administrador\。如圖7所示，這些文件是：

·car.dat（給Windows工具隨機生成的名稱）

·i4.dt（下載相同zip文件的VBS腳本）

·id（給予主機的ID）

·cryptui.dll（惡意木馬）

圖7：ZIP的內容

（二）持久性

在文件C：\ Users \ Public \ Administrador \ car.dat中找到的字元串被解壓並用於添加註冊表項Software Microsoft Windows CurrentVersion Run 以獲取持久性，如圖8所示。

圖8：讀取car.dat文件

該示例還在同一目錄中查找名為i4.dt的文件，並提取其內容，將文件重命名為icone.vbs，並在 Software Microsoft Windows CurrentVersion 中創建一個新的持久性鍵值（圖9）運行此文件。

圖9：持久性鍵值

該文件中的VBS代碼（圖10）能夠重新創建整個鏈並下載相同的ZIP文件。

圖10：VBS腳本的內容

接下來，木馬程序在Program Files目錄中搜索幾個文件夾，其中包括：

·C:\Program Files\AVG

·C:\Program Files\AVAST Software

·C:\Program Files\Diebold\Warsaw

·C:\Program Files\Trusteer\Rapport

·C:\Program Files\Java

·C:\Program Files (x86)\scpbrad

如果找到任一文件夾，則將此信息以及主機名和操作系統版本以及硬編碼的user-agent「Mozilla / 5.0（Windows NT 6.1; WOW64; rv：12.0）Gecko / 20100101 Firefox / 12.0」發送到硬編碼的域名，格式如圖11所示。AT的值是"= "。

圖11：主機枚舉的網路流量

該示例遍歷正在運行的進程，殺死以下進程，並阻止它們啟動：

·msconfig.exe

·TASKMGR.exe

·regedit.exe

·ccleaner64.exe

·taskmgr.exe

·itauaplicativo.exe

接下來，它使用GetForegroundWindow獲取用戶正在查看的窗口的句柄，並使用GetWindowText提取窗口的標題。將該標題與巴西銀行和數字貨幣網站的硬編碼清單進行比較。該清單非常廣泛，包括主要組織和小型實體。

如果找到這些名稱中的任何一個，並且瀏覽器是下列其中一種，則木馬將終止該瀏覽器。

·firefox.exe

·chrome.exe

·opera.exe

·safari.exe

創建文件夾C： Users Public Administrador logs 存儲屏幕截圖以及用戶在瀏覽銀行網站時觸發的滑鼠點擊次數（圖12）。屏幕截圖不斷保存為.jpg圖像。

圖12：惡意軟體捕獲滑鼠點擊

（三）C&C

命令和控制（C2）伺服器根據文件id中的字元串進行選擇：

·al -> "185.43.209[.]182"

·gr -> "212.237.46[.]6"

·pz -> "87.98.146[.]34"

·mn -> 』80.211.140[.]235"

然後，通過埠9999上的Raw TCP，啟動到其中一台主機的連接。命令和控制通信通常遵循模式，例如：

· logs> SAVE

·

——從C2向主機發送，

——從主機向C2發送，保持連接處於活動狀態。

·——感染首次啟動時，根據car.dat中的文件時間戳獲取主機信息。

根據文件「id」中找到的字元串，分析的樣本只能連接四個可能的IP地址。在進一步研究C2的相關基礎設施（圖13）後，就能夠找到這個特定活動的潛在受害者人數。

在打開的目錄中，我們能夠獲得與不同的活動相對應的目錄。在每個目錄中，我們可以找到向C2報告的受害者數量的統計數據。截至3/27/2018，數量為：

·al – 843

·ap – 879

·gr – 397

·kk – 2,153

·mn – 296

·pz – 536

·tm – 187

總結行動#1的圖表如圖14所示。

圖14：#1行動的感染鏈

二、行動#2

在第二個行動中，FireEye實驗室觀察到電子郵件中包含指向合法域名的鏈接（如hxxps://s3-ap-northeast-1.amazonaws [.] com //Boleto_Protesto_Mes_Marco_2018.html）或受侵害的域名（如hxxps :// curetusu。-industria [.]site /），它使用帶有短URL的刷新標記作為目標。短URL將用戶重定向到託管惡意ZIP文件的在線存儲網站，例如Google Drive，Github或Dropbox。圖15顯示了一個釣魚郵件示例。

圖15：網路釣魚郵件示例

ZIP文件包含用AutoIt編寫的惡意可執行文件（內容如圖16所示）。當被用戶執行時，它會將VBS文件放入隨機創建並命名的目錄（如C: mYPdrTkCJLQPX HwoC mYPdr.vbs），並從C2伺服器獲取內容。

圖16：惡意AutoIt可執行文件的內容

從C2伺服器下載兩個文件，一個是合法的Microsoft工具，另一個是惡意DLL：

·https[:]//panel-dark[.]com/w3af/img2.jpg

·https[:]//panel-dark[.]com/w3af/img1.jpg

這些文件被下載並保存到以下列模式命名的隨機目錄中：

·\\.exe

·\\CRYPTUI.dll

執行鏈確保在啟動目錄中使用.lnk文件在受影響的系統上維持持久性。圖17中顯示的.lnk文件打開在系統上投放的惡意VBS。

圖17：持久性鍵值

VBS文件（圖18）將啟動並執行下載的合法Windows工具，在本例中為Certmgr.exe。該工具將被濫用使用DLL側載入技術，惡意Cryptui.dll被載入到程序取代合法程序中並執行。

圖18：VBS文件的內容

（一）銀行木馬分析

與第一個行動中的木馬一樣，此示例通過搜索順序劫持執行。在這種情況下，二進位濫用合法的Windows工具Certmgr.exe，載入Cryptui.dll。由於此工具依賴於名為cryptui.dll的合法DLL，搜索順序路徑將在同一目錄中找到具有相同名稱的惡意木馬並將其載入到進程空間中。

惡意DLL導出21個函數。只有DllEntryPoint包含啟動惡意代碼執行所需的實際代碼，其他函數返回沒有真正目的的硬編碼值。

在執行時，特洛伊木馬會創建一個名為correria24的互斥體，以便一次只允許其中一個實例運行。

惡意軟體試圖解析www.goole [.]com（很可能是拼寫錯誤）。如果成功，它會向hxxp://api-api [.] com/json發送一個請求，檢測受害者的外部IP。只有國家代碼與BR匹配，結果才會被解析並繼續執行，如圖19所示。

圖19：國家代碼檢查

在嘗試將收集到的信息發送到C2伺服器之前，惡意軟體首次執行時會在%appdata% Mariapeirura中創建一個空文件，該文件用作互斥鎖。這樣做是為了每個感染主機只能得到一個報告。

惡意軟體收集主機信息，用base64對其進行編碼，並將其發送給兩台C2伺服器。以下項目是從受感染系統收集的：

·OS名稱

·OS 版本

·OS 架構

·AV 軟體

·安裝的銀行軟體列表

·IP 地址

·惡意軟體執行路徑

信息被發送到hxxp://108.61.188.171/put.php（圖20）。

圖20：發送到第一台C2伺服器的主機信息數據

相同的信息發送到panel-dark [.] com / Contador / put.php（圖21）。

圖21：發送到第二台C2伺服器的主機信息數據

如圖22所示，惡意軟體將註冊表項Software Microsoft Windows CurrentVersion Explorer Advanced ExtendedUIHoverTime的值更改為2710，以便在滑鼠懸停在任務欄上時更改縮略圖顯示的毫秒數。

圖22：ExtendedUIHoverTime註冊表項更改

與第一個行動中的木馬一樣，此示例通過查找硬編碼字元串來檢查前景窗口的標題是否包含巴西銀行和數字貨幣的名稱。

惡意軟體在銀行網站上顯示偽造的表格並攔截受害者的憑據。它也可以在後台有惡意活動時顯示虛假的Windows更新，如圖23所示。

圖23：偽造窗體顯示Windows更新

該示例還包含鍵盤記錄功能，如圖24所示。

圖24：鍵盤記錄功能

（二）C&C

木馬的命令和控制命令結構與第一個示例相同。這些命令由語法表示。

·獲取主機上安裝的銀行軟體列表。

·

——從C2向主機發送，

——從主機向C2發送，以保持連接處於活動狀態。

·刪除註冊表項 Software Microsoft Internet Explorer
otes。

·EXECPROGAM調用ShellExecute運行命令中給出的應用程序。

·EXITEWINDOWS調用ExitWindowsEx。

·NOVOLEMBRETE創建並存儲通過命令在註冊表鍵 Software Microsoft Internet Explorer
otes中發送的數據。

圖25：部分受害者名單

此示例包含大部分加密的重要字元串。我們提供以下腳本（圖26）來解密它們。

圖26：字元串解密腳本

三、總結

多階段感染鏈的使用讓研究這些類型的行動變得困難。

正如我們的研究所證明的，攻擊者正在使用各種技術來逃避檢測，並用銀行木馬感染毫無戒心的葡萄牙語用戶。使用公共雲基礎設施來幫助實現不同階段在交付惡意負載方面起著特別重要的作用。使用不同的感染方法結合濫用合法簽名的二進位文件來載入惡意代碼，使得這些行動值得高度關注。

IoC

行動#1

行動#2

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！