介绍
我们最近在电子邮件和攻击工具包中观察到的最活跃的银行木马之一是一个经常被称为Ursnif或Gozi ISFB[6]的木马。感谢来自FoxIT InTELL的弗兰克·鲁伊斯,我们知道这位演员自2014年以来一直在开发它的一个变种,并将其命名为梦机器人。Dreambot恶意软件正在积极地发展,最近的一些样本特别引起了我们的注意,因为它们增加了Tor通信能力,以及点对点(P2P)功能。Dreambot目前正通过许多开发工具、电子邮件附件和链接传播。
值得注意的是,虽然Dreambot是最活跃和流行的Ursnif变体之一,但还有其他活跃的分支,包括“IAP”[5]。Gozi ISFB的消息来源已经泄露,为进一步的开发工作让路。
分析
Dreambot恶意软件仍在积极开发中,在过去的几个月里,我们已经看到它的多个版本在野外蔓延。至少从2016年7月开始,即我们第一次发现恶意软件成功下载Tor客户端并连接到Tor网络时,Tor支持版本的Dreambot就一直处于活跃状态。如今,许多Dreambot示例都包含了这一功能,但很少有人将其作为与命令控制(C&C)基础设施通信的主要模式。但是,将来可能会更频繁地使用这个特性,给防御者带来额外的问题。
为了进行分析,我们查看了版本2.14.845,它的配置与其他Dreambot版本不同,因为它没有使用域生成算法(DGA):因此,DGA变量和参数都缺失了。下面是一个解密配置数据的示例,其中感兴趣的部分用红色突出显示。
图1:Dreambot使用的解密配置数据
在解密的配置中有三种类型的url。配置数据中列出的第一种URL用于与C&C服务器的纯HTTP(即非tor)通信。bot使用典型的请求模式向C&C服务器报告:例如,向C&C服务器的初始checkin形式为:cfg_url + " /images/ " + encoded_data + (.jpeg|.gif|.bmp)。
在配置数据中出现的第二种URL类型(图1中红色框中突出显示)是.onion C&C地址。它们是机器人的默认选择,其工作方式与普通HTTP命令控制相同,只是所有通信都通过Tor进行加密和隧道化。
第三组url用于下载Tor客户端。我们相信客户端是使用配置蛇密钥[7]解密的。当Tor客户端被检索时,bot会在注册表子文件夹中创建一个名为“TorClient”的注册表项来存储数据。此子文件夹位于HKCU\\Software\AppDataLow\Software\Microsoft\{random guid}。这个密钥包含到客户端的路径,它被放在%TMP%文件夹中,文件名使用模式[a - f0 -9]{4}.bin。
图2:TorClient注册表项
注册表键值很容易解密,因为基于xor的算法[8]在很多代码中都被重用(例如,用于解密.bss部分中的字符串)。这个4字节的密钥是在运行时根据TOKEN_USER值xor和0xE8FA7DD7生成的。
对于两种POST HTTP请求(Tor和非Tor),配置包括Tor标志检查(这里是eax+10)。如果设置了这个标志,Dreambot就会使用Tor发送命令控制签到和数据上传请求。
图3:通过Tor进行通信的配置标志
除了具有Tor功能的Dreambot,我们还发现了一个支持p2p的版本(例如2.15.798版本),它已经存在了相当长的时间。与其他变体一起,这个版本利用了通常的DGA或硬编码地址,以及看起来像点对点协议的通信。此功能需要在交付节点列表的配置中添加一个附加IP。该协议在TCP和UDP上运行,使用自定义的数据包格式。由于添加了这个功能,客户端代码表面几乎是Tor版本的两倍大。我们仍在研究其功能,目前不会进行更深入的讨论。
利用工具运动
Dreambot交付的一个早期有趣的例子来自于Niteris开发套件的一个实例。几个月后,我们发现了相同的重定向链,但取而代之的是一个非法的2步闪速核包。这个特殊的核包行为类似于斯巴达EK从相同的编码器,在发送开发和有效载荷到最终用户之前,一个初始闪光有效载荷作为一个过滤器。GooNky和AdGholas演员也经常使用Angler EK来交付Dreambot,而Angler仍然非常活跃。图4-7显示了这些感染链。
图4:09-11-2015 -被破坏的AdAgency与Niteris[4]的高流量链
图5:02-03-2016 -相同的重定向链,但被重定向到未记录的2步Flash Nuclear Pack [6]
图6:04-11-2016 - GooNky在瑞士的广告投放
图7:05-10-2016 - AdGholas在瑞士的广告投放
图8显示了Dreambot在一次以日本为中心的恶意广告宣传活动中使用Neutrino EK进行的投放,而图9显示了最近通过ElTest和Smokebot木马作为二级有效载荷的Dreambot样本。在后一个例子中,我们可以看到这个Dreambot实例使用Tor连接到C&C基础设施。
图8:07-09-2016 -基于重定向域名的日本广告投放
图9:08-15-2016 - EITest感染链到Smokebot加载一个使用Tor连接到C&C的Dreambot实例
电子邮件广告
2016年,Dreambot通过电子邮件积极发布。我们注意到针对澳大利亚、意大利、瑞士、英国、美国、波兰和加拿大等多个地区的宣传活动。这些活动的恶意电子邮件数量从数千到数十万不等。我们展示了一些使用链接或文档附件导致安装Dreambot的这些活动的例子。
在第一个例子中,行动者使用一种诱饵,声称澳大利亚联邦法院传唤了收件人。如果用户跟随这个链接,他们会看到一个自称是官方法庭网站的网页。如果用户按照指令去做,他们就会下载一个压缩的JavaScript文件,当执行该文件时,就会下载一个Dreambot。
图10:07-08-2016 -用于在澳大利亚分发Dreambot的消息
图11:07-08-2016 -伪造法庭网站导致Dreambot下载
在下一个例子中,澳大利亚的用户收到了一封假装与微软和Office365有关的电子邮件。邮件中的链接直接指向微软Sharepoint上的一个压缩JavaScript下载程序;打开文件就会安装DreamBot。(校对点的研究人员通知了微软关于这个托管恶意软件的信息)。
图12:08-11-2016 -通过Microsoft SharePoint在澳大利亚分发Dreambot的消息
在下面的示例中,美国的用户收到的消息带有声称包含支付记录的附件。微软Word文档附件中包含恶意宏,一旦启用,这些宏就会下载Dreambot。
图13:06-08-2016 -用于在美国分发Dreambot的消息
图14:07-08-2016 -微软Word附件与恶意宏用于传递Dreambot在美国
在接下来的活动中,瑞士的用户收到了个性化的德语信息,其中包含他们的姓名和公司名称,声称附上了订单的发票。微软Word附件中包含的宏,如果启用,就会下载Dreambot。
图15:08-10-2016 -消息分发Dreambot在瑞士
图16:08-10-2016 -微软Word附件用于交付Dreambot在瑞士
在另一个例子中,波兰的用户被发送了一条个性化的信息,其中使用了他们的姓名,并附上了一份虚假的发票附件。微软Word附件中包含的宏,如果启用,就会下载Dreambot。
图17:06-22-2016 -用于在波兰分发梦境机器人的消息
图18:06-22-2016 -微软Word附件用于分发Dreambot在波兰
结论
Dreambot是我们最近看到的最活跃的银行木马之一,它的分布载体跨越了各种攻击工具包,以及恶意的文档附件和基于url的电子邮件活动。Dreambot通常被称为Ursnif和Gozi ISFB,目前正在世界各国推广,并正在积极开发中。特别是,我们观察到在Tor和P2P上都启用了C&C通信的样本。特别是对于启用tor的版本,在网络级别上检测受感染机器上的Dreambot活动尤其困难,这给防御者和IT组织带来了新的挑战。
随着银行木马的发展,我们将继续监视Dreambot及其不断增长的功能列表。
参考文献
- http://www.threatgeek.com/2016/06/new-ursnif-variant-targeting-italy-and-us.html
- https://www.govcert.admin.ch/blog/13/swiss-advertising-network-compromised-and-distributing-a-trojan
- https://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/
- http://malware.dontneedcoffee.com/2014/06/cottoncastle.html
- http://blog.notesonmalware.se/post/2014/10/09/Ursnif-still-in-active-development
- https://securityintelligence.com/gozi-goes-to-bulgaria-is-cybercrime-heading-to-less-chartered-territory/#.VdQEtfnddi8
- https://en.wikipedia.org/wiki/Serpent_(密码)
- https://en.wikipedia.org/wiki/XOR_cipher
妥协指标(IOC的)
Exploit Kits交付的有效载荷:
哈希 |
日期 |
描述 |
向量 |
a14d9ad2b03dd5f6360139f2772a303066ed292c51b0777cbece7b92d4a9e62c |
2015-09-11 |
Dreambot |
向尼德里斯妥协的链条 |
1448年a395e741a419e5e7abb3f3bc2e6c46588823f093c93c695fffe0a69c17ee |
2016-04-11 |
Dreambot |
GooNky Malvert进入Angler |
e06b753aa98e1b8fdc7c8ee1cbd07f5d46b2bbf88ebc8d450c8f24c6e79520a4 |
2016-05-10 |
Dreambot |
广告对垂钓者 |
bd3c470fc6999212373c2c31b08d9944d4bee3baf79bd75a233743ad64845481 |
2016-05-10 |
Dreambot |
EITest链到垂钓者 |
54405 a8cfa557b33e5a1e0c5b69433fce900c96a34496949da501c844b0e7919 |
2016-06-03 |
Dreambot (P2P) |
|
1 dca7b73070679b796a2318c6e11ed0bb65bf66e5cc782b475bb43d735915e6c |
2016-06-03 |
Dreambot |
EITest链到垂钓者 |
0 d6014f1d2487230c3bb38f31d2742577f84fd2f2e0d97be5fb9cf28b7ab6de9 |
2016-07-09 |
Dreambot |
正如大家所知道的那样,中微子 |
f70a7b04a475c7140049ec586eb3f7c7a3480ddaac53c15db4905915e9dea52b |
2016-07-20 |
Dreambot |
EITest链形成中微子 |
8664年c68d5c1ef72f32485c61704ce4fb350c95952a17908908a420443b411414 |
2016-07-20 |
Dreambot |
进入中微子 |
c25b56c5ea2d0af3cf6057f974f1c3a06845ab41f61c8895aaaad55aafaeed7e |
2016-08-12 |
Dreambot |
非法行为人进入RIG |
04 ea4e0417f1f49bc349efe7ee07c0bdf145a98dd7358610f598395246b4c433 |
2016-08-15 |
Dreambot |
非法行为人进入RIG |
54405 a8cfa557b33e5a1e0c5b69433fce900c96a34496949da501c844b0e7919 |
2016-08-15 |
Dreambot |
EITest链到RIG |
8 aa2442fb7a489d0c7f50a2220e0fd4ead270ff812edc3721a49eec5784a1ad6 |
2016-08-15 |
Dreambot (tor) |
EITest链到RIG到Smokebot |
446年a639371b060de0b4edaa8789f101eaeae9388b6389b4c852cd8323ec6757c |
2016-08-15 |
Smokebot |
EITest链到RIG |
396年bd75514ab92e007917c1d136f1993466c0913a532af58386ccb99d5f60ef3 |
2016-08-24 |
IAP |
正如大家所知道的那样到钻井平台 |
通过电子邮件发送的有效载荷:
散列/链接 |
日期 |
描述 |
向量 |
0 edde27c90bbb55d80b89a2ce0baa21feb69a1420dbb1a15059b6bdfde994fde |
2016-06-08 |
宏的文档 |
微软的Word附件 |
[hxxp: / / easypagemachine [] com/kshf [,] jpg] |
2016-06-08 |
有效载荷的URL |
微软的Word附件 |
2720年d7cc899337adf5f021eeddb313f4317fc46f9c6e83bde9f47458b2d955e7 |
2016-06-08 |
Dreambot |
微软的Word附件 |
6 e0da9199f10ff5bd6d2f4e5309cde2332d534cbb3364e15cb0f7873455e0eb5 |
2016-06-22 |
宏的文档 |
微软的Word附件 |
[hxxp / / safiidesign [] com/winword(。)本) |
2016-06-22 |
有效载荷的URL |
微软的Word附件 |
7 e0bf604d3ab673a519feb5d5375f0f88cf46e7cd1d3aa301b1b9fb722e9cef7 |
2016-06-22 |
Dreambot |
微软的Word附件 |
[hxxp: / / pechat-suveniri [] com/mam5pcan8wynct/hwd7popy(。)php) |
2016-07-08 |
最初的链接 |
通过电子邮件发送的链接 |
0195年bf393584b203334c4ca3934e72e388e8e579cde35fa8db892d2ee306dc16 |
2016-07-08 |
JS下载器 |
通过电子邮件发送的链接 |
[hxxp: / / ue-craft[]俄文/ 1 ryvq8owo rukdl1 [,] exe] |
2016-07-08 |
Dreambot有效链接 |
通过电子邮件发送的链接 |
84年bc2608707859a0643be642128b351757dc1f43f5b0a88b5448764dfc23487d |
2016-07-08 |
Dreambot |
通过电子邮件发送的链接 |
b6d6fc672f8b45eed0e88601dea2390e7d0dc01e63840ab840613dd3d6939ad7 |
2016-08-10 |
宏的文档 |
微软的Word附件 |
[hxxp: / / one99two [] com/cgi/office16(。)本) |
2016-08-10 |
有效载荷链接 |
微软的Word附件 |
85年f68545c6d98dd6a6a00859ec136d8a8fd06c20ce189e39ce78f6685da40d4e |
2016-08-10 |
Dreambot |
微软的Word附件 |
[hxxps: / / searchfinancial-my [] sharepoint [] com/personal/tariq_searchfinancial_com_au/_layouts/15/guestaccess [] aspx吗?guestaccesstoken = 4 gpoi4obx0cz % 2 bhmi6vhvpfr1vqc9vmqwu6wuwk6 % 2 b7u8 % 3 d&docid = 0 ec6abef70a134e70978ed191c8364229&rev = 1] |
2016-08-11 |
最初的链接 |
通过电子邮件发送的链接 |
414年b3cbc230768d9930e069cb0b73173fe9951e82486f0d6524addf49052d5ad |
2016-08-11 |
JS下载器 |
通过电子邮件发送的链接 |
[hxxp: / / www [] wizardwebhosting [] com/css/header [,] css] |
2016-08-11 |
Dreambot有效链接 |
通过电子邮件发送的链接 |
3 cde892a8faddd4aaf90e8455698719516ab96ea6d116af21353c08375d457b9 |
2016-08-11 |
Dreambot |
通过电子邮件发送的链接 |
选择ET签名,将发射这样的流量:
2021813 || ET木马Ursnif变体CnC信标
2021829 || ET木马Ursnif变体CnC Beacon 4
2022970 || ET木马Ursnif变体CnC Beacon 6
2018789 || ET POLICY TLS可能的TOR SSL流量
多个|| ET TOR已知TOR中继/路由器(Not Exit)节点流量组**
订阅校正博客