Osiris——Kronos银行木马变种归来

ang010ela Web安全 2018年7月27日发布

导语:本文分析了Kronos银行木马变种发起的三起攻击活动,并分析了Osiris与该变种的关系。

Kronos银行木马最早是在2014年被发现的,再此之后直到消失,Kronos都在威胁图谱中稳定的占有一席之地。近日,研究人员发现一个新的Kronos变种,发起至少三起攻击活动分别攻击了德国、日本、波兰。

更多Kronos银行木马信息参见:http://www.4hou.com/web/12145.html

2018年4月,Kronos新变种的第一个样本出现。其最有名的特征就是C2机制使用Tor匿名网络了进行重构。有证据证明变种被重新包装为Osiris在黑市售卖。本文对针对德国、日本和波兰的攻击活动进行分析。

攻击活动分析

德国(2018年6月27-30日)

2018年6月27日,研究人员发现一起针对德国用户的邮件攻击。邮件显示是来自德国经济公司,主题为:Aktualisierung unsere AGBs(条款更新)

Mahnung: 9415166 (通知单号:9415166)

邮件附件主题与文件名类似,如agb_9415166.doc、Mahnung_9415167.doc:

图片.png

图1:攻击德国的邮件示例

Word文档含有宏文件,开启宏后,就会下载和执行Kronos银行木马的变种。在一些例子中,攻击还会使用中间的Smoke Loader。Kronos的配置内容为使用http://jhrppbnh4d674kzh[.]onion/kpanel/connect.php作为C&C URL,并下载攻击5家德国金融机构的webinject(即Web注入)。

图片.png

图2: 德国攻击的webinject示例

日本(2018年7月13日)

根据安全研究人员的tweet,研究人员调查了将受害者发送到含有恶意JS注入的站点的恶意广告链。JS会将受害者重定向到RIG利用套件,RIG是用来传播SmokeLoader下载器的。下载的C2为:

hxxp://lionoi.adygeya[.]su
hxxp://milliaoin[.]info

根据对该攻击活动的威胁单元的追踪,研究人员认为恶意广告链可能会传播Zeus Panda银行木马(图3),但本例中,最后的payload为Kronos的新变种 (图4)。

图片.png

图3: 传播SmokeLoader和Zeus Panda的威胁单元


图片.png

图4: 7月14日来自威胁单元的新Kronos攻击活动

在本攻击活动中,Kronos配置的C2为http://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php,webinjects攻击的目标是13个日本金融机构。图5是针对日本的攻击活动中的webinject示例。

图片.png

图5: 针对日本的攻击活动中的webinject示例

波兰(2018年7月15-16日)

2018年7月15日起,研究人员发现一起针对波兰用户的含有恶意附件的邮件攻击活动。邮件使用虚假发表相关的主题,如Faktura 2018.07.16,附件名与主题相关faktura 2018.07.16.doc(图6)。文档利用CVE-2017-11882 (公式编辑器漏洞)从http://mysit[.]space/123//v/0jLHzUW处下载和执行kronos新变种。

图片.png

图6:针对波兰攻击中使用的恶意文档

该Kronos实例的C2被配置为http://suzfjfguuis326qw[.]onion/kpanel/connect.php,截止发稿,该C2未发回任何webinject。

正在进行的攻击(2018年7月20日)

2018年7月20日,研究人员发现一起正在开发和测试中的攻击活动。攻击活动中Kronos实例的C2配置为hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php,可以通过点击GET IT NOW按钮(伪装成流音乐播放器)来下载。

图片.png

图7: 正在进行中的攻击使用的Kronos

目前,该攻击活动的测试webinject如图8所示。

图片.png

图8: 正在进行中的攻击使用的Webinject

恶意软件分析

Kronos恶意软件是一款使用基于浏览器的中间人攻击和webinject规则来修改金融机构web页面、窃取用户身份凭证、账户信息和其他用户信息甚至金钱的银行木马。Kronos还有keylogging和隐藏VNC功能来帮助其银行攻击活动。

Kronos新变种与之前的版本有很多相似之处:

· 扩展代码覆盖;

· 相同的Windows API哈希技术;

· 相同的字符串加密技术;

· 相同的C2加密机制;

· 相同的C2协议和加密;

· 相同的webinject格式(Zeus格式);

· 相同的C2面板文件布局。

该恶意软件是Kronos变种的最明显表示应该是含有自识别的字符串(图9):

图片.png

图9: 自识别的Kronos字符串

新变种与之前版本最大的不同之处在于使用.onion C2 URL和Tor来使通信匿名化。C2也是加密保存的,可以用图11中的过程解密。

图片.png

图10: 加密的C2

图片.png

图11: 用python解密C2示例

Osiris银行木马

几乎同时,Kronos的新变种也出现了,一款名为Osiris的银行木马广告出现在地下黑客论坛:

图片.png

图12: Osiris银行木马广告

广告中的内容强调了的一些特征与Kronos新变种是相同的,比如C++语言编写、银行木马、使用Tor、keylogger功能、使用Zeus格式webinject等。广告中提到僵尸的大小是350k,与之前解压的Kronos新变种样本大小也差不多(351k);而且该样本的名称为os.exe,很可能是Osiris的简写。

针对日本攻击活动中的一些文件名也使用的是Osiris:

hxxp://fritsy83[.]website/Osiris.exe
hxxp://oo00mika84[.]website/Osiris_jmjp_auto2_noinj.exe

结论

Kronos是一款臭名昭著的银行木马恶意软件,在威胁图谱中一直占有稳定地位。本文是对新出现的Kronos变种的一个综合分析,虽然使用的名字是Osiris,但证据显示就是Kronos银行木马的变种。

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/kronos-reborn如若转载,请注明原文地址: http://www.4hou.com/web/12776.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论