抨击巴西和台湾地区的无文件银走木马分析

凶意柔件会在最先菜单中开释 .LNK 文件,迫使体系在 3 分钟后重启,并且会锁屏以迫行使户输入用户名和暗号。行使体系的坦然登陆特征,凶意柔件能够检测到输入的舛讹凭证,并知照用户再次输入。凶意柔件还能够用用户的精确凭证登陆体系,并将凭证发送到 C2 服务器,并删除最先菜单中开释和创建的文件和文件夹以暗藏凶意走为的痕迹。另一个木马会掀开 outlook 来搜集保存的邮箱地址,然后发送到 C2 服务器。倘若机器异国安设 outlook,就实走下一步但是跳过发送搜集的邮箱地址。

该抨击运动被暗的抨击者还在赓续更新其凶意柔件。Payload 中融相符了众个特征,包括行使 RADMIN 增补了受感染的主机被滥用行为僵尸网络的能够性。

图 6. 安设的 HKTL_RADMIN.

体系重启和用户登陆后,凶意柔件就会删除一切的 Google .LNK,并修改 LNK 的指针 cmd.exe /C copy "C:UsersPublicChrome.LNK" ,"%Application Data%MicrosoftInternet ExplorerQuick LaunchUser PinnedImplicitAppShortcutsGoogle Chrome.LNK" 来替换 Google .LNK 为凶意 .LNK 文件来运走凶意文件。然后开释 batch 文件来添载木马,并将其暗藏到 Google Chrome 扩展中。凶意柔件在实走前会扫描体系来搜索特定的字符串,倘若检测到开源开发工具或调试器或 cvv digo de seguran 如许的稀奇字符串就休止运走。凶意柔件还会监控用户访问的网站,当点击 #signin 或 #login-signin 如许的按钮后,就最先监控体系并发送到 C2。

网络作凶分子议定便捷的在线银走服务来对现在的发首抨击,考虑到这 3 个银走在巴西、拉美地区都是最大的,企业和幼我用户都能够会成为感染和抨击的入口。除了窃取在线银走凭证和长途访问体系,抨击者还会搜集用户邮箱中的有关人邮箱地址用于大周围的垃圾邮件抨击运动,而且能够会被用于钓鱼和 BEC 抨击。

图 2. 含有下载的字符串脚本的 batch 文件代码

走为分析

无文件凶意柔件已经不是一个新名词,但是也在赓续的发展中,现有了的自动化分析和检测技术照样很难检测和阻截。钻研人员提出用户行使最幼权限原则,并强化对职员的新闻坦然认识培训。

图 3. 从 URL 下载和实走 PowerShell 脚本的脚本

当运走环境版本矮于 Windows 7, 8, 8.1, 10 或不是 Windows 操作体系的话,木马会终止运走,由于用来搜集邮件地址、GoogleChrome Login Data 和 OPENSSL 到 C2 的函数库不声援 Windows xp 及更早版本。而且抨击中行使的 RADMIN 版本不声援矮于 Windows 的体系。

图 5. 木马强制受感染的机器重启以搜集用户凭证和保存的邮箱地址

感染后,木马会连接到 hxxp://35 [ . ] 227 [ . ] 52 [ . ] 26/mods/al/md [ . ] zip 来下载 PowerShell 代码,并连接到 hxxp://35 [ . ] 227 [ . ] 52 [ . ] 26/loads/20938092830482 来实走代码,连接到其他 URL、挑取和重命名文件。这些被重命名的文件望似是有效的 Windows 函数,如可实走文件和图像文件。

总结

图 1. 无文件银走木马感染链分析

凶意柔件还会开释和安设暗客工具 RADMIN 以及从 GitHub 文件夹中下载的配置文件,安设在锥面的文件夹 RDP Wrapper 中。凶意柔件会议定配置文件注册外来暗藏一切长途访问运动,当用户退出体系后,抨击者就能够登陆并获取管理权限,并暗藏屏幕运动。

图 4. 开释和重命名的样本,望似是相符法的 Windows 文件

钻研人员近日分析了一个含有众个 .bat 附件的无文件凶意柔件,能够下载含有银走木马 payload 的 powershell,并安设暗客工具和新闻窃取器。钻研人员分析发现,凶意柔件会窃取机器新闻和用户凭证、扫描与特定巴西银走有关的字符串和其他与保存的 outlook 有关人有关的网络链接、安设暗客工具 RADMIN。统计数据外明受感染最主要的区域有巴西和中国台湾。

除了访问用户银走账户外,从用户访问的网站中窃取的 PII 和记录的机器凭证会被进一步滥用甚至销售。考虑到金融服务和客户的基础,钻研人员认为抨击者能够在赓续发展更大的僵尸网络或大周围的邮件现在的抨击。

posted @ 19-11-19 02:29 admin  阅读:

Powered by 怎么买股票 @2018 RSS地图 html地图

Copyright 365站群 © 2013-2018 广告联系QQ:2774950069 版权所有