臭名昭著的網(wǎng)銀木馬 Ursnif(a.k.a Gozi),在過(guò)去的一年多里,一直將日本作為其主要的攻擊對(duì)象。該木馬的傳播方式也很常見(jiàn),就是利用垃圾電子郵件,附帶惡意附件的形式,群發(fā)放給指定目標(biāo)。一旦用戶(hù)打開(kāi)其中的附件,就會(huì)激活?lèi)阂獬绦?,并主?dòng)從遠(yuǎn)程服務(wù)器下載 Ursnif 木馬的可執(zhí)行文件。
東京警察局和日本網(wǎng)絡(luò)犯罪控制中心,已于近期向網(wǎng)絡(luò)用戶(hù)發(fā)出了惡意電子郵件活躍的警告。經(jīng)過(guò)分析,我們大致確定了用于針對(duì)包括日本和幾個(gè)歐洲國(guó)家在內(nèi)的,網(wǎng)銀木馬的分發(fā)網(wǎng)絡(luò)結(jié)構(gòu)。該網(wǎng)絡(luò)主要由兩個(gè)部分組成:負(fù)責(zé)傳送垃圾電子郵件的僵尸網(wǎng)絡(luò),以及一組 web 服務(wù)器。
需要說(shuō)明的是:
垃圾郵件僵尸網(wǎng)絡(luò)專(zhuān)注于向日本,意大利,西班牙,波蘭,澳大利亞以及德國(guó),傳送或下載網(wǎng)銀木馬。
Web服務(wù)器則主要用于,托管網(wǎng)銀木馬及垃圾郵件bot文件,以支持分發(fā)的垃圾郵件內(nèi)的的惡意下載程序,能從遠(yuǎn)程下載網(wǎng)銀木馬。
日本Ursnif感染載體的分析
使用我們的威脅情報(bào)平臺(tái)( AutoFocus, Palo Alto Networks )可以觀察到,在2016年就有近數(shù)百萬(wàn)份發(fā)向日本的電子郵件。這些電子郵件內(nèi)容都是用日語(yǔ)寫(xiě)的(見(jiàn)圖1中的示例)。最近的一次監(jiān)測(cè)是今年的一月份,我們發(fā)現(xiàn)其附帶的附件,是一個(gè)由JavaScript編寫(xiě)的惡意下載腳本。一旦該惡意腳本在瀏覽器成功執(zhí)行,便會(huì)從遠(yuǎn)程服務(wù)器下載 Ursnif,并在受感染的機(jī)器上執(zhí)行它。
圖1帶有惡意附件的日本電子郵件
Shiotob(a.k.a Bebloh或URLZone)是去年這類(lèi)攻擊中,分布最廣的威脅。我們?cè)诮?00萬(wàn)封的垃圾郵件中,大致確定了多達(dá)75種的Shiotob變種。 有趣的是,Shiotob本身就可以竊取用戶(hù)的網(wǎng)銀憑據(jù),但至少在2016的上半年,攻擊者卻只是利用它來(lái)下載遠(yuǎn)程木馬。
圖2顯示了感染步驟
受害者收到惡意電子郵件并打開(kāi)附件,Shiotob開(kāi)始感染受害者系統(tǒng)。
Shiotob開(kāi)始通過(guò)HTTPS通信C2服務(wù)器并定期接收命令。
Shiotob基于來(lái)自C2服務(wù)器的命令,開(kāi)始下載安裝惡意程序(如Ursnif)。
圖3從C2下載命令
圖3是來(lái)自Shiotob C2服務(wù)器的命令示例。你可以看到C2在會(huì)話中提供了三個(gè)“> LD”命令。這是一個(gè)從遠(yuǎn)程服務(wù)器上,下載安裝文件的指令。其中兩個(gè)是來(lái)自不同位置的,相同Ursnif二進(jìn)制文件。另一個(gè)則是存放在另一臺(tái)服務(wù)器上的,臭名昭著的 Pushdo(a.k.a Cutwail或Pandex)垃圾郵件bot。一旦被感染,將會(huì)受控于基于僵尸網(wǎng)絡(luò)主機(jī)命令的垃圾郵件威脅。
垃圾郵件活動(dòng)
Unit 42 觀察到,數(shù)以百萬(wàn)計(jì)的垃圾郵件攻擊日本收件人,其中一些可能同時(shí)運(yùn)行網(wǎng)銀木馬和垃圾郵件bot。雖然很難知道電子郵件活動(dòng)的確切數(shù)量,但可以觀察到的是,針對(duì)日本郵件用戶(hù)的垃圾電子郵件,正呈上升趨勢(shì)(圖4)。我們認(rèn)為造成這種情況,是由于攻擊者增加垃圾電子郵件bot感染的結(jié)果。
圖4日本惡意電子郵件增長(zhǎng)趨勢(shì)
為了了解垃圾郵件bot的網(wǎng)絡(luò)活動(dòng),我們隨機(jī)提取了200個(gè)唯一的日本IP地址。結(jié)果發(fā)現(xiàn),在2016年268000封郵件中,除了Shiotob之外,有將近250種惡意程序被發(fā)送(圖5)。
圖5由200個(gè)日本IP地址發(fā)送的惡意軟件
大多數(shù)惡意軟件被歸類(lèi)為網(wǎng)銀木馬或木馬下載器。此外,一些下載程序正在安裝以上列出的網(wǎng)銀木馬。僵尸網(wǎng)絡(luò)顯然更專(zhuān)注于通過(guò)垃圾郵件提供網(wǎng)銀木馬。
基于我們的遙測(cè),意大利,日本,西班牙,波蘭和德國(guó)是他們攻擊的主要目標(biāo)國(guó)家。攻擊者根據(jù)目標(biāo)定制了分發(fā)的電子郵件內(nèi)容,并使用本地化的電子郵件主題和內(nèi)容,來(lái)吸引使用該語(yǔ)言的人。以下列出了,各個(gè)語(yǔ)言的垃圾電子郵件中經(jīng)常出現(xiàn)的一些詞語(yǔ)和主題(表1)。
Target | Australia | Italy | Japan | Spain | Poland | Ge |
---|---|---|---|---|---|---|
Banking Trojans | Ursnif
Shiotob |
KINS
Ursnif |
Shiotob
Ursnif |
Ursnif
Tinba |
Ursnif
Tinba |
Ursnif
KIN |
Frequent word in Emails | Photo | Foto | 寫(xiě)真 | Foto | Zdj cie | Fot |
Order | D’ordine | 注文 | Orden | Oferta | Best | |
Invoice | Fattura | 請(qǐng)求 | Factura | Faktura | Rec | |
Notification | Notifica | お知らせ | Notificación | Powiadomienie | Versan | |
Delivery | Recapito | 配達(dá) | Entregar | Dostawa |
表1目標(biāo)和電子郵件特性
惡意軟件托管服務(wù)器
接下來(lái),我們開(kāi)始搜索通過(guò)垃圾郵件訪問(wèn)的,惡意軟件托管Web服務(wù)器。我們很快意識(shí)到,該威脅通過(guò)在多個(gè)服務(wù)器上復(fù)制威脅文件,使其基礎(chǔ)架構(gòu)冗余。例如,他們將惡意文件放在服務(wù)器A和B上,而將另一個(gè)文件則放在服務(wù)器B和C上(圖4)。
圖6惡意軟件冗余
通過(guò)跟蹤到服務(wù)器和惡意文件的鏈接,我們?cè)?4個(gè)服務(wù)器上發(fā)現(xiàn)了超過(guò)200個(gè)惡意文件,這些文件自2015年4月到2017年1月,一直被威脅主體所使用。他們大多是,位于歐洲的個(gè)人或中小型商業(yè)網(wǎng)站。這些網(wǎng)站內(nèi)容大都已經(jīng)過(guò)時(shí),網(wǎng)站管理員應(yīng)該已經(jīng)很久沒(méi)有維護(hù)過(guò)他們的服務(wù)器了。圖7顯示了Web服務(wù)器的地理位置。
圖7 Web服務(wù)器的地理位置
圖8顯示了在Web服務(wù)器上發(fā)現(xiàn)的惡意軟件的詳細(xì)信息,以及基于我們的遙測(cè)從中下載的惡意軟件(表2)。結(jié)果對(duì)應(yīng)于上一節(jié)中SPAM對(duì)目標(biāo)和惡意軟件的分析。
圖8 Web服務(wù)器上的惡意軟件
Malware | Downloading countries |
---|---|
Ursnif | Japan, Italy, Spain |
KINS | Italy |
Rovnix | Japan |
Shiotob | Australia, |
Zeus | Italy |
Pushdo | Japan, Italy |
表2 Web服務(wù)器上發(fā)現(xiàn)的惡意軟件種類(lèi)
服務(wù)器和惡意文件之間的關(guān)系完整圖,如下(圖9)。
圖9服務(wù)器和惡意文件之間的關(guān)系
總結(jié)
此類(lèi)網(wǎng)銀木馬,主要通過(guò)垃圾電子郵件僵尸網(wǎng)絡(luò)及被攻陷的web服務(wù)器,來(lái)部署安裝。目前還不清楚該攻擊群體,是否利用基礎(chǔ)設(shè)施和多種威脅攻擊多個(gè)國(guó)家,或是否有許多威脅主體共享它們。
*參考來(lái)源 :securitynewspaper,F(xiàn)B小編 secist 編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf(FreeBuf.COM)