针对新型Ursnif木马活动的追踪分析

概述

10月9日，我们的一些客户在几个小时内接连产生相同的告警事件。根据此前已经发生的恶意活动，这一系列告警似乎与Ursnif木马有关。Ursnif是一个长期活跃的恶意软件，其根源可以追溯到2007年的ZeuS和SpyEye，该恶意软件在每一起恶意活动中都具有强大的感染能力。这一系列攻击的媒介是附带恶意Word文档的电子邮件。

在接到最初通知后，我们的威胁情报团队立即开展了深入调查，以了解这一系列恶意活动与我们在今年第二季度监控的恶意活动之间是否具有关联性。

第一次评估

虽然我们无法确认该恶意活动是针对特定地理区域的，但我们注意到大多数文件都是针对使用意大利语的用户，这表明意大利地区受到了攻击者的关注。除此之外，我们还发现了俄罗斯、乌克兰、荷兰和美国的恶意软件下载位置。我们将分析的重点，放在意大利客户在攻击发生时所受到的威胁。

邮件附件中的文档包含意大利语的提示内容，诱导用户允许宏，以查看文档内容：

Ursnif感染策略

作为Ursnif恶意活动的一部分，DOC文档使用了“该文档是使用以前版本的Microsoft Office Word创建”作为借口，要求用户启用宏。如果用户已经事先启用了宏，那么在打开文档的同时将会执行宏。如果没有，那么在用户单击“启用内容”按钮之后，恶意代码将立即运行。

我们在DOC文件中，找到经过模糊处理后的宏代码：

Microsoft Word中的宏会运行一个命令提示符，并使用参数-ec来调用PowerShell，用于对指令进行解码操作，该指令的具体内容是执行Payload的下载。下图展现了执行Microsoft Word文档中宏代码后的进程链。

经过模糊、Base 64编码、解码过程后的命令如下：

执行Microsoft Word文档宏后的进程链如下：

在这一特定的Ursnif恶意活动中，Payload使用了从1到7的递增数字编号（例如：wync1、wync5、wync7）和扩展名“.xap”命名。

Ursnif投递点结构：

在Ursnif执行cmd.exe之后，我们通过ReaQta-Hive的行为树来查看其活动：

通过cmd.exe，首先运行了powershell.exe（分析窗口#1），然后投递并运行可执行文件（分析窗口#2、#3），这是最终的Ursnif Payload。在执行最终Payload后，恶意软件开始产生恶意行为，它创建了一个用于存储下一感染阶段的注册表项。

在创建注册表项之后，Ursnif使用存储在“dhcpport”值中的命令启动进程：

C:\\Windows\\system32\\wbem\\wmic.exe /output:clipboard process call create \"powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty 'HKCU:\\Software\\AppDataLow\\Software\\Microsoft\\B53CC69F-9026-AF48-42B9-C45396FD3837').bthppast))

我们可以通过下图，直观地看到整个过程：

该命令将运行PowerShell，随后使用invoke-expression读取和运行“bthppast”中的内容（分析窗口N#1）：

其中存储的值，就是PowerShell脚本，该脚本将直接在内存中运行。在没有更加深入的情况下，无文件攻击选择了与当前体系结构相匹配的.dll文件，并在Explorer中注入代码（分析窗口N#2），该值可以是“Client32”或“Client64”。

在注入后，explorer.exe中的恶意代码会尝试连接到C&C服务器（分析窗口N#7）。

C&C基础设施

在所有我们分析的服务器上，都具有相同的模式和文件结构。攻击者所使用的基本目录似乎在同一个恶意活动中是通用的。此外，还有3个子目录用于收集用户信息，例如：

· 从潜在受害者下载的恶意软件；

· 受害者IP地址；

· 所在国家；

· 被阻止的IP地址；

· 僵尸主机HID；

· 僵尸版本；

· 正常运行时间。

根目录可以在恶意软件管理端中自定义，过去我们曾发现Ursnif恶意活动使用了相同的文件结构，但文件位于不同的根文件夹下，例如“TOL”、“TYJ”、“YUY”、“MXE”等。相同的根文件夹名称似乎不会在不同的恶意活动中重复使用，并且每个名称仅在有限的时间内使用。

分配给分发服务器的根文件夹名称似乎与每起恶意活动紧密相关。从2018年8月至今，我们收集了这些文件夹的名称，每一起恶意活动都使用了唯一的文件夹名称。

· WES：从11月5日使用至今；

· TJY：从10月29日至11月5日；

· RUI：从10月16日至10月28日；

· TNT：从8月22日到10月11日；

· TOL：从10月1日到10月6日；

· MXE：从9月24日到10月1日；

· VRE：从9月20日到9月21日；

· DAB：从9月17日到9月21日；

· XOE：从9月13日到9月14日；

· RTT：从9月6日到9月12日；

· YUY：从8月24日到9月6日；

· TST：从8月20日到8月22日；

· FLUX：从8月13日到8月15日。

在下图中，展示了Ursnif可执行文件的配置，其中包括僵尸版本、僵尸网络组ID、DGA（域名生成算法）数据、C&C服务器等。

Ursnif僵尸主机配置：

在Payload与C&C硬编码地址建立连接后不久，就会下载Payload并自动执行。作为数据泄露过程的一部分，.avi文件（随机文件名）将会从硬编码地址下载，该URL中包含与目标主机相关的信息，该信息经过编码后发送。

数据泄露过程：

这一C&C服务器由最初Ursnif恶意组织使用臭名昭著的犯罪软件管理，其登录界面位于wifilhonle[.]com/auth/login。

Ursnif恶意组织可以从面板中“客户”部分监控成功感染木马的目标主机。在这一页面，显示了与受害者计算机相关的统计信息，其中包括：IP地址、受感染计算机所在国家、信息情况和木马版本。

Ursnif分布

正如我们在前面所提过的那样，C&C集中分布在乌克兰、俄罗斯、荷兰、美国和意大利。

下图显示了托管服务器每小时样本下载率的统计信息，该分析在2018年11月7日至11月12日期间进行，基于从恶意服务器提供的162493个样本。另外，有趣的是，每个下载的样本在交付之前都会自动进行修复，这样一来每个二进制文件都会具有一个独特的哈希值，这可能是一种绕过基于哈希值IoC指标检测技术的简单方法。

总结

毫无疑问，Ursnif木马仍然是当今最为活跃的威胁之一。Lolbins和无文件攻击的结合，使得Ursnif木马更加难以检测，并且使其更加容易的通过反病毒软件的扫描。

人工智能驱动的行为分析在主动检测此类威胁的过程中发挥了核心作用，Ursnif就是一个很好的例子。如今，针对恶意活动的检测与清除已经是争分夺秒，多一秒延迟就会多一分丢失业务重要信息的风险。

借助ReaQta-Hive等系统，能够迅速检测新威胁及其变种，重建有关其行为和相关风险因素的信息，在恶意软件产生任何真实损失之前快速检测、告警，并阻止潜在威胁。

IoC

DOC文档SHA1哈希值：

· 8d9c9a8d24ff4e41c19c8583e3c5c48db52f147e > Logisticaservicesrl.doc

· 963CD36B2FBDC70F9B3AF4ED401A28BEB6F969F9 > GRobotica.doc

· EDF48AC80E2505241BB4A0378363A3C79FD864B8 > Indalgo.doc

· F31155687987ACE4D9F547E069789645680D7272 > Network_Connections.doc

· ae4e6c49d120fa07c1112e5b70cd078654a1b009 > Logisticaservicesrl.doc

· b902ccbb81c300da92c7428fc30cdc252233249e > Conform.doc

· cc42e4b4a0d1a851367eb5265b4408c64aa56dab > Ligoratti.doc

· e6934b62bab58efcd64db4c9774b0f9d908715a1 > MetroBlu.doc

EXE可执行文件SHA1哈希值：

· 05450C90E23CFBDFC5122D0004A6CA1A51E769C5 > praf3.xap

· 2600D8F9301DB916949E0D46872768022F808A7C > ledo5.xap

· 28B78C0B4C52222D3F6BDB9583D7EEF82EBFCEC4 > crypt_2_3105.exe

· 3AB9EE0B9B8E3098E1252293FC7D03E43CC69590 > hereye.exe

· 4E36269327981F417D59AFDED3DDE2D11BA99149 > ledo6.xap

· 6119095DFC0B80C6948B50E13EACAFF8929B56E3 > ledo2.xap

· 6502563541E8830D418A3877324F42DF0B510CE5 > ledo3.xap

· 7F704D1CC07575854E98783AF059371E2FCCC4E8 > ledo1.xap

· 99405F84372E8CBDF8B85D6C5F749FF3FFEA2764 > praf1.xap

· A1C13D9922C58C38E713D3EAFCA70A2A2589C7CC > ledo4.xap

· A1DEC1D4523E2E6670F6E45A3924DC4C0121CFFE > ledo7.xap

· AC4B5DD954EFCC11FB2AFAB0FDE27476CB0615CF > praf5.xap

· AEB75D73E802A7AF08400CED4252CA4455C0DA82 > praf6.xap

· C9D09E8767344EC32FD6732173D9557F9C74A802 > praf7.xap

· CBD009F09109B38C4BEC3C55E827C8FCED057D2E > praf2.xap

· DEE85E063B55D8CF829950E61285078E1BD35164 > crypt_3100.exe

· E5C48455F03C18F04D581AE1F95C41C81F653EF2 > praf4.xap

· EB3100700F3D95B21892B045A5FF32EBAD38A831 > wync1.xap

Payload服务器与C&C服务器：

· hxxp://46.17[.]47[.]99/

· hxxp://cythromatt[.]com

· hxxp://djecalciar[.]com

· hxxp://hutedredea[.]com

· hxxp://mnesenesse[.]com

· hxxp://nosenessel[.]com

· hxxp://ostrolista[.]com

· hxxp://pilewitene[.]com

· hxxp://podylostol[.]com

· hxxp://roidlandev[.]com

· hxxp://scopoledod[.]com

· hxxp://shumbildac[.]com

· hxxp://suggenesse[.]com

· hxxp://tifyiskeri[.]com

· hxxp://uvurinestl[.]com

· hxxp://wifilhonle[.]com

IP地址：

· 185.159.128[.]78（俄罗斯）

· 185.180.198[.]222（荷兰）

· 185.180.198[.]228（荷兰）

· 185.180.198[.]229（荷兰）

· 185.180.198[.]230（荷兰）

· 192.162.244[.]12（俄罗斯）

· 192.162.244[.]169（俄罗斯）

· 192.162.244[.]171（俄罗斯）

· 204.79.197[.]200（美国）

· 217.147.170[.]91（乌克兰）

· 217.147.170[.]94（乌克兰）

· 46.17.47[.]4（俄罗斯）

· 46.17.47[.]99（俄罗斯）

· 46.29.160[.]132（俄罗斯）

· 62.149.140[.]59（意大利）

· 92.242.63[.]202（俄罗斯）

· 93.184.220[.]29（美国）

· 94.103.81[.]168（俄罗斯）

· 94.103.82[.]216（俄罗斯）

· 95.181.198[.]115（俄罗斯）

· 95.181.198[.]116（俄罗斯）

· 95.181.198[.]72（俄罗斯）