使用高度混淆的JS文件:最新Trickbot恶意活动分析

41yf1sh 恶意软件 2019年8月22日发布
Favorite收藏

导语:一段时间以来,我们持续在追踪Trickbot银行木马恶意活动。近期,我们发现了一个恶意软件变种,Trend Micro将其检测为TrojanSpy.Win32.TRICKBOT.TIGOCDC,该恶意软件使用分布式垃圾邮件分发,在附件中带有包含恶意宏的Microsoft Word文档。

概述

一段时间以来,我们持续在追踪Trickbot银行木马恶意活动。近期,我们发现了一个恶意软件变种,Trend Micro将其检测为TrojanSpy.Win32.TRICKBOT.TIGOCDC,该恶意软件使用分布式垃圾邮件分发,在附件中带有包含恶意宏的Microsoft Word文档。在用户单击打开文档之后,将会投放一个经过严重混淆后的JS文件(JavaScript),下载Trickbot作为其Payload。该恶意软件还会检查受影响计算机中正在运行的进程数量,如果它检测到恶意软件自身运行在一个进程非常有限的环境之中,恶意软件将会认为它可能正在虚拟环境中运行,不会再继续执行其例程。

除了信息窃取功能之外,恶意软件还会删除具有特定扩展名文件,包括在可移动驱动器和网络驱动器中的文件,随后将文件替换为恶意软件的副本。根据我们的遥测技术,这一系列Trickbot恶意活动对美国的影响最大。除美国之外,还针对中国、加拿大和印度分发了垃圾邮件。

恶意软件的感染链:

1.jpg

新型Trickbot分析

在恶意电子邮件样本中,该邮件声称是与广告提供商相关的订阅通知,告知用户已经提交了为期三年的订阅申请,并提供订阅费用的总额。邮件随后解释说,交易即将发生,将从用户的卡中收取更多费用。在邮件的最后,提示用户查看附件以确认所有结算和订阅信息,而该附件的文档中包含恶意脚本。

分发的Word文档将向用户显示以下通知(如下图所示),该通知说明,可以通过启用宏内容来查看内容。值得注意的是,该文档将JS脚本隐藏在文档本身,而不是隐藏在宏之中。恶意攻击者通过使用与文档背景相同的字体颜色对脚本进行伪装来实现此目的。

要求用户启用宏的文档:

2.jpg

该脚本经过混淆,并且包含不同的功能。为了解密函数,它将使用另一个将其转换为单个字符的函数。

解密函数:

3.png

在成功对文件进行反混淆处理之后,我们就能够对其进行分析,并观察到一些有趣的行为。在执行过程中,在启用宏后将会显示出一个伪造的Microsoft错误提示以欺骗用户。但实际上,JS文件已经在后台运行。

伪造的Microsoft错误提示:

4.png

在持久性方面,恶意软件将自身的副本复制到Startup文件夹中,并命名为Shell.jse。特别值得关注的是,恶意软件还具有反分析或逃避检测的特性,JS文件还将检查正在运行的进程,确认受害者计算机中所有正在运行的进程总数。一旦正在运行中的进程总数没有达到足够的数量,将不会再继续执行。

如果正在运行的进程少于1400个字符(字符串的长度),则恶意软件会判断为自身可能在虚拟环境或沙箱环境中运行。此外,恶意软件还会检查常见的分析工具所对应的进程是否存在,并会检查其运行的环境是否使用了特定的用户名。

恶意软件检查的部分进程名称和用户名:

5.png

如果检查过程中发现任何匹配项,则会显示代码错误:

6.jpg

下面是恶意软件在受影响操作系统中检查的进程和调试工具列表:

AgentSimulator.exe
B.exe
BehaviorDumper
BennyDB.exe
ctfmon.exe
DFLocker64
FrzState2k
gemu – ga.exe
iexplore.exe
ImmunityDebugger
LOGSystem.Agent.Service.exe
lordPE.exe
ProcessHacker
procexp
Procmon
PROCMON
Proxifier.exe
tcpdump
VBoxService
VBoxTray.exe
vmtoolsd
vmware
VzService.exe
windanr.exe
Wireshark

经过进一步分析,我们成功反编译出恶意软件检查的用户名字符串:

Emily
HAPUBWS
Hong Lee
Johnson
milozs
Peter Wilson
SystemIT | admin
VmRemoteGuest
WIN7 – TRAPS

恶意软件的Payload将会连接到URL hxxps://185[.]159[.]82[.]15/hollyhole/c644[.]php,随后检查需要下载的文件。如果是可执行文件,则会将文件保存到%Temp%路径下,命名为{random}.exe,并在随后执行。如果该文件不是可执行文件,则会将其保存在相同路径下,并命名为{random}.cro。随后,将会使用certutil.exe解码.cro文件,将解码后的文件保存在相同路径下,命名为{random}.exe,然后执行。经过进一步分析,我们发现恶意软件下载的.exe文件是Trickbot恶意软件的变种。

保存文件,生成随机文件名,并使用certutil.exe解码.cro文件:

7.png

该恶意软件会窃取例如操作系统、CPU和内存等系统信息、用户帐户、已经安装的程序和服务、IP配置信息和网络信息(配置、用户、域名设置)。除此之外,该Trickbot变种还会从应用程序和Internet浏览器中收集以下凭据和信息。

应用程序凭据:

Filezilla
Microsoft Outlook
PuTTy
Remote Desktop (RDP)
VNC
WinSCP

浏览器凭据和信息(涉及:Google Chrome、Internet Explorer、Microsoft Edge和Mozilla Firefox):

自动填充信息
支付信息数据
浏览历史记录
信用卡数据
HTTP POST响应内容
互联网Cookie
用户名和密码

该恶意软件还是用名为psfin32的“销售点”(Point-of-Sale)提取模块,该模块识别位于特定域名内的PoS相关关键词。该模块使用LDAP查询,搜索计算机上是否存在包含以下字符串的PoS信息:

*ALOHA*
*BOH*
*CASH*
*LANE*
*MICROS*
*POS*
*REG*
*RETAIL*
*STORE*
*TERM*

该恶意软件变种似乎还会投放shadnewdll,这是一个用于拦截和修改受影响设备上Web流量的代理模块,从而通过网络创建欺诈性的银行交易。此外,根据安全研究员Brad Duncan的说法,该模块与银行木马IcedID有相似之处,后者将受害者重定向到虚假的在线银行网站,或者附加到浏览器进程之中,从而在网络钓鱼活动中利用,在网页中注入伪造的内容。

在恶意软件无法连接恶意服务器的情况下,将在可移动驱动器和网络驱动器中搜索是否存在具有以下扩展名的文件。这些扩展名是Microsoft Office和OpenDocument使用的文件类型:

.doc
.xls
.pdf
.rtf
.txt
.pub
.odt
.ods
.odp
.odm
.odc
.odb

具有上述扩展名的文件将会保存在%TEMP%文件夹中,命名为ascii.txt。然后,将所有文件删除,并替换为恶意软件副本,并以.jse为扩展名,但实际上是一个JavaScript文件。

扫描文件,并将其替换为自身的副本:

8.png

如何防御Trickbot:安全建议和解决方案

窃取信息的恶意软件Trickbot已经成为感染主机和恶意邮件中的网络犯罪主流,据报道,该恶意软件已经被用于窃取超过2.5亿个帐户。这一新型恶意软件变种说明了网络犯罪分子如何不断调整现有的银行木马以增加新的功能。但是,用户只需要遵循针对垃圾邮件的最佳防护方案即可有效防止这种攻击。除了提升甄别垃圾邮件的能力(例如:来自可疑的发件人地址、内容出现明显的语法错误)之外,我们还建议用户不要打开未经验证来源的电子邮件附件。

个人用户和企业用户也可以使用多层防御的方式来抵御Trickbot等威胁所带来的风险,并进行充分的保护。我们建议用户使用终端应用程序控制,确保只安装、下载白名单中的应用程序,只访问白名单网站、文档和更新,以减少攻击风险。借助一些终端解决方案,可以有效检测相关的恶意文件和URL,并保护用户的系统。使用云安全智能防护套件和具有行为监控功能的企业安全产品,还可以通过检测并阻止该恶意活动中涉及的文档和JS文件等恶意文件以防御这种类型的威胁。

Trend Micro深度威胁发现设备通过以下DDI规则保护客户免受潜在C&C连接和数据泄露的威胁:

1645:检测到可能存在的自签名SSL证书

2780:TRICKBOT – HTTP(请求)

威胁指标

Trickbot恶意文件

SHA-256:0242ebb681eb1b3dbaa751320dea56e31c5e52c8324a7de125a8144cc5270698

检测名称:TRICKBOT.TIGOCDC

机器学习预测检测:TROJ.Win32.TRX.XXPE50FFF031

恶意文档文件

SHA-256:16429e95922c9521f7a40fa8f4c866444a060122448b243444dd2358a96a344c

检测名称:Trojan.W97M.JASCREX.A

机器学习预测检测:Downloader.VBA.TRX.XXVBAF01FF004

SHA-256:666515eec773e200663fbd5fcad7109e9b97be11a83b41b8a4d73b7f5c8815ff

检测名称:Trojan.W97M.JASCREX.AB

机器学习预测检测:Downloader.VBA.TRX.XXVBAF01FF004

SHA-256:41cd7fec5eaad44d2dba028164b9b9e2d1c6ea9d035679651b3b344542c40d45

检测名称:Trojan.W97M.JASCREX.AD

机器学习预测检测:Downloader.VBA.TRX.XXVBAF01FF004

SHA-256:970b135b4c47c12f97bc3d3bbdf325f391b499d03fe19ac9313bcace3a1450d2

检测名称:Trojan.W97M.JASCREX.AC

投放的JavaScript文件(扩展名为.dat)

SHA-256:8537d74885aed5cab758607e253a60433ef6410fd9b9b1c571ddabe6304bb68a

检测名称:TrojanSpy.JS.NEMUCOD.BONINGH

垃圾邮件

970b135b4c47c12f97bc3d3bbdf325f391b499d03fe19ac9313bcace3a1450d2

恶意网址

hxxps://185[.]159[.]82[.]15/hollyhole/c644[.]php

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/latest-trickbot-campaign-delivered-via-highly-obfuscated-js-file/如若转载,请注明原文地址: https://www.4hou.com/malware/19770.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论