Ursnif持续威胁意大利

ang010ela 新闻 2019年3月30日发布
Favorite收藏

导语:Ursnif木马已被视为网络空间领域最活跃的恶意软件威胁,研究人员近日发现意大利是其近期攻击的主要目标。

简介

Ursnif木马已被视为网络空间领域最活跃的恶意软件威胁,在过去的几天就有新的攻击活动尝试攻击意大利的不同行业和组织。Cybaze-Yoroi ZLab研究人员仔细分析了其感染链来记录持续恶意软件威胁发展的过程,分析了多个不同的阶段,每个阶段都有绕过检测的目的,有时还会使用系统工具来完成最后的目标:运行Ursnif payload。

image.png

图1: Ursnif恶意软件感染链活动

技术分析

与之前的攻击活动不同,这次的Ursnif并不使用隐写术或高度混淆的powershell脚本,而是滥用隐藏在压缩的包中的VB脚本。当用户点击Decreto超链接时,就会被重定向到Google Drive web页面,会显示一个展示伪造的文档的伪造的页面,并邀请用户点击下载链接。

image.png

图2: 文档“Scarica il documento”

一旦用户点击“Scarica il documento”的链接,就会从blogger[.]scentasticyoga[.]com处下载两个不同的文件到受害者机器上,第一个是混淆的VBS脚本,第二个是用来欺骗受害者的合法图像。

image.png

图3: ZIP文件中包含的文件

VBS代码会被混淆来绕过检测,为了迷惑分析人员,所有的值都回以不同的步骤来修改:使用许多数学方法、长的随机变量名和其他base64格式编码的内容。恶意路径回被分成多个部分,然后再运行时再融合再一起,这是一种很基本但是很有效的绕过技术。在第一个反混淆阶段,就可以获取可读性很好的代码。

image.png

图4: 恶意VBS代码,左侧为混淆后的,右侧为反混淆的

最后,感染开始,恶意软件运行cmd.exe通过Bitsadmin工具下载eyTWUDW.exe,并保存到%APPDATA%\Local\Temp目录下。

Bitsadmin工具是合法的命令行工具,主要是管理员用来下载系统更新,但是近年来被攻击者滥用并伪装称恶意网络活动。还可以用来管理感染链的下一个组件的下载,下载地址为hxxp://blog[.practicereiki[.com/pagpoftrh54[.php。

然后,加载器会运行schtasks来启动eyTWUDW.exe的执行。Payload临时保存在%APPDATA%\Local\Temp中,然后从http[://link[.kunstsignal[.net/images/W534K5hp8zGWYvpMJkayjGf/FqWxvwp_2F/1_2BEPHtH1r_2FpG5 /o0BuA8sr5LGg /IDwj8Q6mCoq/5nK9XEb3WoD5wW/y8lJVn5t5QXZMUgDQopzF /oO58ImaZl53M5X3E/whzGq3GIOtuCnK6/o3R_2BwMMv/wAo5qeqZ/a[.avi下载下一阶段恶意软件。

通过上面的URL,可能可以拦截下载的加密的payload,然后被eyTWUDW.exe分析,然后经过一个内部解密阶段保存到注册表key中,并在目标机器上建立无文件驻留。

image.png

图5: 恶意软件设定的注册表值

恶意软件还会联系C2来确认是否成功感染,发送一个含有用来识别恶意软件植入的参数的check-in HTTP请求:

image.png

表 1: Ursnif感染格式

通过分析C2所在的远程目的地址,发现它从2019年3月5日开始活跃,也就是攻击刚开始之前。目的地址对许多AV厂商的未知的,说明该基础设施的一部分主要是在意大利范围内。

eyTWUDW.exe通过以下命令来运行之前保存的脚本,并从注册表子键amxrters调用powershell代码:

powershell  iex([System.Text.Encoding]::ASCII.GetString((Get-ItemProperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\94502524-E302-E68A-0D08-C77A91BCEB4E’ ).amxrters))

其他脚本的内容用base64编码、整数数组、字符代码到字节转化等多层的混淆。然后获取的脚本内容如下所示:

image.png

图6: 从注册表键中提取的脚本,左侧为混淆后的,右侧为解混淆的

第一阶段含有恶意软件加载的与操作系统进行交互的依赖,比如kernel32,最后调用的函数表明使用了相同的APC注册技术来注册payload到进程Explorer.exe中。解混淆的中间部分可以看到经典字符串“This program cannot be run in DOS mode”,恶意软件的最后阶段的头部会被注入到Explorer进程。

image.png

图7: 从脚本中提取的Ursnif final payload

研究人员对不同样本进行异同分析:

image.png

图8: 样本的异同分析1

乍一看,不同的样本之间有很多的共同点,比如都是64位模式编译的。编译时间是不同的,而最早的是1月28号,最晚的是3月11日。

image.png

图9: 样本异同分析2

结论

Ursnif还在不断地发展中并且在世界和意大利范围内传播。攻击活动背后的攻击者在不断的更新并使用不同的感染链来绕过安全控制和病毒检测,并使用诱饵邮件来诱使用户打开。

本文翻译自:https://blog.yoroi.company/research/the-ursnif-gangs-keep-threatening-italy/如若转载,请注明原文地址: https://www.4hou.com/info/news/17042.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论