針對(duì)網(wǎng)銀木馬Ursnif的全球網(wǎng)絡(luò)分銷(xiāo)檢測(cè)及分析

責(zé)任編輯:editor004

作者:secist

2017-02-21 11:28:42

摘自:黑客與極客

臭名昭著的網(wǎng)銀木馬 Ursnif(a k a Gozi),在過(guò)去的一年多里,一直將日本作為其主要的攻擊對(duì)象。Web服務(wù)器則主要用于,托管網(wǎng)銀木馬及垃圾郵件bot文件,以支持分發(fā)的垃圾郵件內(nèi)的的惡意下載程序,能從遠(yuǎn)程下載網(wǎng)銀木馬。

臭名昭著的網(wǎng)銀木馬 Ursnif(a.k.a Gozi),在過(guò)去的一年多里,一直將日本作為其主要的攻擊對(duì)象。該木馬的傳播方式也很常見(jiàn),就是利用垃圾電子郵件,附帶惡意附件的形式,群發(fā)放給指定目標(biāo)。一旦用戶(hù)打開(kāi)其中的附件,就會(huì)激活?lèi)阂獬绦?,并主?dòng)從遠(yuǎn)程服務(wù)器下載 Ursnif 木馬的可執(zhí)行文件。

東京警察局和日本網(wǎng)絡(luò)犯罪控制中心,已于近期向網(wǎng)絡(luò)用戶(hù)發(fā)出了惡意電子郵件活躍的警告。經(jīng)過(guò)分析,我們大致確定了用于針對(duì)包括日本和幾個(gè)歐洲國(guó)家在內(nèi)的,網(wǎng)銀木馬的分發(fā)網(wǎng)絡(luò)結(jié)構(gòu)。該網(wǎng)絡(luò)主要由兩個(gè)部分組成:負(fù)責(zé)傳送垃圾電子郵件的僵尸網(wǎng)絡(luò),以及一組 web 服務(wù)器。

需要說(shuō)明的是:

垃圾郵件僵尸網(wǎng)絡(luò)專(zhuān)注于向日本,意大利,西班牙,波蘭,澳大利亞以及德國(guó),傳送或下載網(wǎng)銀木馬。

Web服務(wù)器則主要用于,托管網(wǎng)銀木馬及垃圾郵件bot文件,以支持分發(fā)的垃圾郵件內(nèi)的的惡意下載程序,能從遠(yuǎn)程下載網(wǎng)銀木馬。

日本Ursnif感染載體的分析

使用我們的威脅情報(bào)平臺(tái)( AutoFocus, Palo Alto Networks )可以觀察到,在2016年就有近數(shù)百萬(wàn)份發(fā)向日本的電子郵件。這些電子郵件內(nèi)容都是用日語(yǔ)寫(xiě)的(見(jiàn)圖1中的示例)。最近的一次監(jiān)測(cè)是今年的一月份,我們發(fā)現(xiàn)其附帶的附件,是一個(gè)由JavaScript編寫(xiě)的惡意下載腳本。一旦該惡意腳本在瀏覽器成功執(zhí)行,便會(huì)從遠(yuǎn)程服務(wù)器下載 Ursnif,并在受感染的機(jī)器上執(zhí)行它。

Picture1-1.png

  圖1帶有惡意附件的日本電子郵件

Shiotob(a.k.a Bebloh或URLZone)是去年這類(lèi)攻擊中,分布最廣的威脅。我們?cè)诮?00萬(wàn)封的垃圾郵件中,大致確定了多達(dá)75種的Shiotob變種。 有趣的是,Shiotob本身就可以竊取用戶(hù)的網(wǎng)銀憑據(jù),但至少在2016的上半年,攻擊者卻只是利用它來(lái)下載遠(yuǎn)程木馬。

Picture2-1.png

  圖2顯示了感染步驟

受害者收到惡意電子郵件并打開(kāi)附件,Shiotob開(kāi)始感染受害者系統(tǒng)。

Shiotob開(kāi)始通過(guò)HTTPS通信C2服務(wù)器并定期接收命令。

Shiotob基于來(lái)自C2服務(wù)器的命令,開(kāi)始下載安裝惡意程序(如Ursnif)。

圖3從C2下載命令

圖3是來(lái)自Shiotob C2服務(wù)器的命令示例。你可以看到C2在會(huì)話中提供了三個(gè)“> LD”命令。這是一個(gè)從遠(yuǎn)程服務(wù)器上,下載安裝文件的指令。其中兩個(gè)是來(lái)自不同位置的,相同Ursnif二進(jìn)制文件。另一個(gè)則是存放在另一臺(tái)服務(wù)器上的,臭名昭著的 Pushdo(a.k.a Cutwail或Pandex)垃圾郵件bot。一旦被感染,將會(huì)受控于基于僵尸網(wǎng)絡(luò)主機(jī)命令的垃圾郵件威脅。

垃圾郵件活動(dòng)

Unit 42 觀察到,數(shù)以百萬(wàn)計(jì)的垃圾郵件攻擊日本收件人,其中一些可能同時(shí)運(yùn)行網(wǎng)銀木馬和垃圾郵件bot。雖然很難知道電子郵件活動(dòng)的確切數(shù)量,但可以觀察到的是,針對(duì)日本郵件用戶(hù)的垃圾電子郵件,正呈上升趨勢(shì)(圖4)。我們認(rèn)為造成這種情況,是由于攻擊者增加垃圾電子郵件bot感染的結(jié)果。

Picture4.png

  圖4日本惡意電子郵件增長(zhǎng)趨勢(shì)

為了了解垃圾郵件bot的網(wǎng)絡(luò)活動(dòng),我們隨機(jī)提取了200個(gè)唯一的日本IP地址。結(jié)果發(fā)現(xiàn),在2016年268000封郵件中,除了Shiotob之外,有將近250種惡意程序被發(fā)送(圖5)。

Picture5.png

  圖5由200個(gè)日本IP地址發(fā)送的惡意軟件

大多數(shù)惡意軟件被歸類(lèi)為網(wǎng)銀木馬或木馬下載器。此外,一些下載程序正在安裝以上列出的網(wǎng)銀木馬。僵尸網(wǎng)絡(luò)顯然更專(zhuān)注于通過(guò)垃圾郵件提供網(wǎng)銀木馬。

基于我們的遙測(cè),意大利,日本,西班牙,波蘭和德國(guó)是他們攻擊的主要目標(biāo)國(guó)家。攻擊者根據(jù)目標(biāo)定制了分發(fā)的電子郵件內(nèi)容,并使用本地化的電子郵件主題和內(nèi)容,來(lái)吸引使用該語(yǔ)言的人。以下列出了,各個(gè)語(yǔ)言的垃圾電子郵件中經(jīng)常出現(xiàn)的一些詞語(yǔ)和主題(表1)。

 

Target Australia Italy Japan Spain Poland Ge
Banking Trojans Ursnif

 

Shiotob

KINS

 

Ursnif

Shiotob

 

Ursnif

Ursnif

 

Tinba

Ursnif

 

Tinba

Ursnif

 

KIN

Frequent word in Emails Photo Foto 寫(xiě)真 Foto Zdj cie Fot
  Order D’ordine 注文 Orden Oferta Best
  Invoice Fattura 請(qǐng)求 Factura Faktura Rec
  Notification Notifica お知らせ Notificación Powiadomienie Versan
  Delivery Recapito 配達(dá) Entregar Dostawa  

 

表1目標(biāo)和電子郵件特性

惡意軟件托管服務(wù)器

接下來(lái),我們開(kāi)始搜索通過(guò)垃圾郵件訪問(wèn)的,惡意軟件托管Web服務(wù)器。我們很快意識(shí)到,該威脅通過(guò)在多個(gè)服務(wù)器上復(fù)制威脅文件,使其基礎(chǔ)架構(gòu)冗余。例如,他們將惡意文件放在服務(wù)器A和B上,而將另一個(gè)文件則放在服務(wù)器B和C上(圖4)。

Picture6.png

  圖6惡意軟件冗余

通過(guò)跟蹤到服務(wù)器和惡意文件的鏈接,我們?cè)?4個(gè)服務(wù)器上發(fā)現(xiàn)了超過(guò)200個(gè)惡意文件,這些文件自2015年4月到2017年1月,一直被威脅主體所使用。他們大多是,位于歐洲的個(gè)人或中小型商業(yè)網(wǎng)站。這些網(wǎng)站內(nèi)容大都已經(jīng)過(guò)時(shí),網(wǎng)站管理員應(yīng)該已經(jīng)很久沒(méi)有維護(hù)過(guò)他們的服務(wù)器了。圖7顯示了Web服務(wù)器的地理位置。

Picture7.png

  圖7 Web服務(wù)器的地理位置

圖8顯示了在Web服務(wù)器上發(fā)現(xiàn)的惡意軟件的詳細(xì)信息,以及基于我們的遙測(cè)從中下載的惡意軟件(表2)。結(jié)果對(duì)應(yīng)于上一節(jié)中SPAM對(duì)目標(biāo)和惡意軟件的分析。

Picture8.png

  圖8 Web服務(wù)器上的惡意軟件

 

Malware Downloading countries
Ursnif Japan, Italy, Spain
KINS Italy
Rovnix Japan
Shiotob Australia,
Zeus Italy
Pushdo Japan, Italy

 

表2 Web服務(wù)器上發(fā)現(xiàn)的惡意軟件種類(lèi)

服務(wù)器和惡意文件之間的關(guān)系完整圖,如下(圖9)。

Picture9.png

  圖9服務(wù)器和惡意文件之間的關(guān)系

總結(jié)

此類(lèi)網(wǎng)銀木馬,主要通過(guò)垃圾電子郵件僵尸網(wǎng)絡(luò)及被攻陷的web服務(wù)器,來(lái)部署安裝。目前還不清楚該攻擊群體,是否利用基礎(chǔ)設(shè)施和多種威脅攻擊多個(gè)國(guó)家,或是否有許多威脅主體共享它們。

*參考來(lái)源 :securitynewspaper,F(xiàn)B小編 secist 編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf(FreeBuf.COM)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)