TA505武器之隐形电子邮件窃取器

Change Web安全 2019年5月21日发布
Favorite收藏

导语:Yoroi安全实验室发现,已有越来越多的证据在表明针对银行业的攻击行为正在加剧。许多安全研究人员在也指出过,利用电子邮件作为攻击载体的金融盗窃行动可能与黑客组织TA505有关。

简介

Yoroi安全实验室发现,已有越来越多的证据在表明针对银行业的攻击行为正在加剧。许多安全研究人员在也指出过,利用电子邮件作为攻击载体的金融盗窃行动可能与黑客组织TA505有关,TA505自2014年以来一直活跃,其攻击目标主要针对零售业和银行业公司。该组织所使用的逃避技术随着时间的推移在不断发展进化,能越过某些企业的安全防御机制,渗入企业内部,例如滥用LOLBins或合法程序,以及经过加密签名payload。

1.png

图1.野外发现的攻击行动。

我们在4月至5月间调查并跟踪了TA505,在受害者计算机上,我们检测到了一个有趣的工具。就在恶意文件打开、FlawedAmmy RAT植入程序安装后不久,出现了一种特殊的证书窃取软件,该组件能揭示TA505近期行动的细节。

2.png

图2.野外发现的攻击行动。

技术分析

分析样本是从“bullettruth[.com/out[.exe”下载的,它在感染发生后被执行到受害者机器中。

t1.jpg

3.png

图3:由SLON LTD签名的恶意软件

首先,我们注意到这个次级组件被很好地保护起来,能免受反病毒检测,而PE文件是由Sectigo在5月上旬签署的,Sectigo是俄罗斯主要的认证机构之一。通过分析信任链,我们发现攻击者依赖于向一家名为SLON LTD.的英国公司发布的加密密钥。目前,我们还没有证据表明该公司是之前黑客攻击的受害者。

无论如何,对二进制文件的静态检查显示,恶意软件的熵水平相当高,表明它可能被加壳了。

4.png

图4:恶意软件熵的级别显得可疑

动态执行恶意软件揭示了更多信息。该恶意可执行文件实质上是电子邮件窃取程序,唯一的目的是检索受害者计算机内存在的所有电子邮件和密码帐户。执行信息收集例程后,恶意软件会向其C2发送所有检索到的电子邮件和密码:

5.png

图5:HTTP POST通信

与C2通信的过程没有进程加密,收集的数据以JSON格式发送到C2。 调查攻击者基础设施,我们能看到窃取的电子邮件的信息。

为了检索有关此电子邮件窃取程序的更多详细信息,我们接着进行调试和反汇编。调试器中执行恶意软件后,能提取恶意软件的解压缩后的payload。

6.png

图6:加壳样本(左侧)和解壳样本(右侧)的静态信息

如上图所示,我们注意到这两个组件间的差异性:加壳样本是在Microsoft Visual C ++ 6.0版中编译的,解压缩后的样本显示是在Microsoft Visual C ++版本8中编译的。提取的payload无法执行,因为它总是引用原始内存的许多内存地址。因此,我们对提取的样本进行静态分析。

如前所述,恶意软件的主要目的是遍历文件系统以查找电子邮件帐户。第一步是检查“outlook.exe”进程是否正在运行并将其终止。恶意软件使用Process32FirstW API遍历用户进程,然后使用TerminateProcess终止进程。

7.png

图7:搜索Outlook进程

所提取的payload代码是未经混淆的,C2服务器和路径也没有进行编码:

8.png

图8:C2连接例程

最后分析的是整个文件系统内的凭证收集过程。

除了常规搜索在Outlook和Thunderbird客户端中注册的电子邮件帐户(如图7所示)之外,还有另一个查找硬编码扩展名的扫描文件系统,如果找到其中一个,则引用找到的文件并保存在%TEMP%目录中。此时,所有收集的电子邮件帐户都会被发送到服务器,然后恶意软件会创建一个简单的批处理脚本,从受感染的计算机中删除自身的所有痕迹。

 9.png

图9:自动删除批处理脚本

外泄邮件分析

下图显示了我们收集到的电子邮件的一些统计数据,按被盗数据中出现频率最高的TLD排序。

10.png

图10:TLD的分布

如上图所示,最常见的TLD是.com,发生次数为193194次,其中.kr发生次数为102025次,.cn发生次数为26160次,it发生次数为6.317次,依此类推。为了更好地可视化这一曝光所涉及的宏观位置,我们建立了一个热图,显示了顶级域名中引用的前100个国家的地理分布。

 11.png

图11:电子邮件TLD暴露的地理位置

热图显示,受影响较小的国家呈绿色,相反,受影响最严重的国家往往呈橙色或略带红色。从这两种分布中首先出现的是,这种特定的威胁似乎没有针对性,事实上,扩散几乎是全球性的,在英国、意大利、韩国、中国、德国、匈牙利、台湾、日本、印度和墨西哥呈现一些红色或橙色区域,所有这些国家都超过了一千次。

结论

如今,电子邮件帐户是网络罪犯的有效收入来源。实际上,所有这些信息都可用于通过网络钓鱼活动传播其他恶意软件,执行BEC攻击(商业电子邮件攻击)以及凭证填充攻击。

像这样一个窃取信息的恶意软件,虽然简单却可能带来破坏性的影响,特别是如果被有组织的团体与其他恶意软件植入一起使用时。事实上,正如德国独立研究人员Fernandez Bacian所报道的那样,这个电子邮件窃取器最近被TA505所使用,暴露的数据、截获的电子邮件帐户以及电子邮件联系人,在未来都有可能被运用到更进一步的攻击行动中。

IoC

Dropurl:

· bullettruth[.com/out[.exe

C2:

· nettubex[.top/es/es[.php

· 178.48.154.38

· 5.253.53.236

· 87.241.136.1

· 197.255.225.249

· 95.140.195.178

· 186.74.208.84

· 86.61.75.99

· 86.101.230.109

· 89.47.94.113

· 130.204.181.90

· 78.90.243.124

Hash:

· 104dae7457c10b7fe6c42a335f2a57ff708ff20d70597fbaa5fe0083c1c628c7

· e4b40cba02dc1de1a1c2ed2001d39a87c476c11ca08f09a80fd3f1fbaae0daeb

· f3e8f68c31c86d431adea1633c875c32434a42aee5ed70af74af5c5e5aa58883

· 899bfac53c3439a7ea68f9a5bbff2733ebf7b9158f18ef5d03360a09b18b5e0d

Yara Rules

import "pe"
rule EmailStealer_201905 {
meta:
description = "Yara rule for EmailStealer"
author = "Cybaze - Yoroi ZLab"
last_updated = "2019-05-14"
tlp = "white"
category = "informational"
strings:
$a1 = { 80 F2 F3 00 56 53 A7 }
$a2 = { 4D 26 9A 00 56 4B AC 55 }
$a3 = { 1C 4A 77 00 00 89 B4 B7 }
 
 
condition:
uint16(0) == 0x5A4D and pe.number_of_sections == 3 and all of them
}

查找拓展名

.msf; .dat; .pst; .ost; .asp; .cdd; .cpp; .doc; .docm; .docx; .dot; .dotm; .dotx; .epub; .fb2; .gpx; .ibooks; .indd; .kdc; .key; .kml; .mdb; .mdf; .mobi; .mso; .ods; .odt; .one; .oxps; .pages; .pdf; .pkg; .pl; .pot; .potm; .potx; .pps; .ppsm; .ppsx; .ppt; .pptm; .pptx; .ps; .pub; .rtf; .sdf; .sgml; .sldm; .snb; .wpd; .wps; .xar; .xlr; .xls; .xlsb; .xlsm; .xlsx; .xlt; .xltm; .xltx; .xps; .3dm; .aspx; .cer; .cfm; .chm; .crdownload; .csr; .css; .download; .eml; .flv; .htaccess; .htm; .html; .jnlp; .js; .jsp; .magnet; .mht; .mhtm; .mhtml; .msg; .php; .prf; .rss; .srt; .stl; .swf; .torrent; .url; .vcf; .webarchive; .webloc; .xhtml; .xul; .asf; .asm; .cgi; .class; .cs; .dtd; .fla; .ged; .gv; .icl; .java; .jse; .json; .lua; .mb; .mod; .msp; .obj; .po; .ps1; .py; .sh; .sln; .so; .sql; .ts; .vbe; .vbs; .vc4; .vcproj; .vcxproj; .wsc; .xcodeproj; .xsd; .apt; .err; .log; .pwi; .sub; .ttf; .tex; .text; .txt; .accdb; .b2; .crypt; .crypt5; .crypt6; .crypt7; .crypt8; .crypt12; .db; .dbf; .dbx; .sis; .awb; .bin; .cdi; .cdr; .csv; .eap; .efx; .gam; .gbr; .gtp; .mpp; .msc; .mts; .otf; .nbk; .nbp; .ndb; .prj; .rtp; .sav; .scppy; .tax2010; .tbl; .tmp; .vcd; .xml; .xsl; .xslt; .bak; .dmp; .gho; .ghs; .v2i; .zip; .asx; .iff; .inf; .temp; .ai; .aif; .amr; .apk; .bp1; .ccd; .cdw; .dds; .dmg; .dxf; .ext; .ics; .ini; .m4p; .max; .md0; .mng; .mp3; .mpa; .msu; .nrg; .pak; .part; .pkpass; .psd; .rnd; .rom; .spl; .swb; .svg; .xla; .application; .appref; .cfg; .conf; .config; .cpl; .cue; .deskthemepack; .diagcfg; .ds_store; .iso; .pdi; .plist; .reg; .scr; .theme; .themepack; .thm

本文翻译自:https://blog.yoroi.company/research/the-stealthy-email-stealer-in-the-ta505-arsenal/如若转载,请注明原文地址: https://www.4hou.com/web/18079.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论