概述
10月9日,我们的一些客户在几个小时内接连产生相同的告警事件。根据此前已经发生的恶意活动,这一系列告警似乎与Ursnif木马有关。Ursnif是一个长期活跃的恶意软件,其根源可以追溯到2007年的ZeuS和SpyEye,该恶意软件在每一起恶意活动中都具有强大的感染能力。这一系列攻击的媒介是附带恶意Word文档的电子邮件。
在接到最初通知后,我们的威胁情报团队立即开展了深入调查,以了解这一系列恶意活动与我们在今年第二季度监控的恶意活动之间是否具有关联性。
第一次评估
虽然我们无法确认该恶意活动是针对特定地理区域的,但我们注意到大多数文件都是针对使用意大利语的用户,这表明意大利地区受到了攻击者的关注。除此之外,我们还发现了俄罗斯、乌克兰、荷兰和美国的恶意软件下载位置。我们将分析的重点,放在意大利客户在攻击发生时所受到的威胁。
邮件附件中的文档包含意大利语的提示内容,诱导用户允许宏,以查看文档内容:
Ursnif感染策略
作为Ursnif恶意活动的一部分,DOC文档使用了“该文档是使用以前版本的Microsoft Office Word创建”作为借口,要求用户启用宏。如果用户已经事先启用了宏,那么在打开文档的同时将会执行宏。如果没有,那么在用户单击“启用内容”按钮之后,恶意代码将立即运行。
我们在DOC文件中,找到经过模糊处理后的宏代码:
Microsoft Word中的宏会运行一个命令提示符,并使用参数-ec来调用PowerShell,用于对指令进行解码操作,该指令的具体内容是执行Payload的下载。下图展现了执行Microsoft Word文档中宏代码后的进程链。
经过模糊、Base 64编码、解码过程后的命令如下:
执行Microsoft Word文档宏后的进程链如下:
在这一特定的Ursnif恶意活动中,Payload使用了从1到7的递增数字编号(例如:wync1、wync5、wync7)和扩展名“.xap”命名。
Ursnif投递点结构:
在Ursnif执行cmd.exe之后,我们通过ReaQta-Hive的行为树来查看其活动:
通过cmd.exe,首先运行了powershell.exe(分析窗口#1),然后投递并运行可执行文件(分析窗口#2、#3),这是最终的Ursnif Payload。在执行最终Payload后,恶意软件开始产生恶意行为,它创建了一个用于存储下一感染阶段的注册表项。
在创建注册表项之后,Ursnif使用存储在“dhcpport”值中的命令启动进程:
C:\\windows\\system32\\wbem\\wmic.exe /output:clipboard process call create \"powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty 'HKCU:\\Software\\AppDataLow\\Software\\Microsoft\\B53CC69F-9026-AF48-42B9-C45396FD3837').bthppast))我们可以通过下图,直观地看到整个过程:
该命令将运行PowerShell,随后使用invoke-expression读取和运行“bthppast”中的内容(分析窗口N#1):
其中存储的值,就是PowerShell脚本,该脚本将直接在内存中运行。在没有更加深入的情况下,无文件攻击选择了与当前体系结构相匹配的.dll文件,并在Explorer中注入代码(分析窗口N#2),该值可以是“Client32”或“Client64”。
在注入后,explorer.exe中的恶意代码会尝试连接到C&C服务器(分析窗口N#7)。
C&C基础设施
在所有我们分析的服务器上,都具有相同的模式和文件结构。攻击者所使用的基本目录似乎在同一个恶意活动中是通用的。此外,还有3个子目录用于收集用户信息,例如:
从潜在受害者下载的恶意软件;
受害者IP地址;
所在国家;
被阻止的IP地址;
僵尸主机HID;
僵尸版本;
正常运行时间。
根目录可以在恶意软件管理端中自定义,过去我们曾发现Ursnif恶意活动使用了相同的文件结构,但文件位于不同的根文件夹下,例如“TOL”、“TYJ”、“YUY”、“MXE”等。相同的根文件夹名称似乎不会在不同的恶意活动中重复使用,并且每个名称仅在有限的时间内使用。
分配给分发服务器的根文件夹名称似乎与每起恶意活动紧密相关。从2018年8月至今,我们收集了这些文件夹的名称,每一起恶意活动都使用了唯一的文件夹名称。
WES:从11月5日使用至今;
TJY:从10月29日至11月5日;
RUI:从10月16日至10月28日;
TNT:从8月22日到10月11日;
TOL:从10月1日到10月6日;
MXE:从9月24日到10月1日;
VRE:从9月20日到9月21日;
DAB:从9月17日到9月21日;
XOE:从9月13日到9月14日;
RTT:从9月6日到9月12日;
YUY:从8月24日到9月6日;
TST:从8月20日到8月22日;
FLUX:从8月13日到8月15日。
在下图中,展示了Ursnif可执行文件的配置,其中包括僵尸版本、僵尸网络组ID、DGA(域名生成算法)数据、C&C服务器等。
Ursnif僵尸主机配置:
在Payload与C&C硬编码地址建立连接后不久,就会下载Payload并自动执行。作为数据泄露过程的一部分,.avi文件(随机文件名)将会从硬编码地址下载,该URL中包含与目标主机相关的信息,该信息经过编码后发送。
数据泄露过程:
这一C&C服务器由最初Ursnif恶意组织使用臭名昭著的犯罪软件管理,其登录界面位于wifilhonle[.]com/auth/login。
Ursnif恶意组织可以从面板中“客户”部分监控成功感染木马的目标主机。在这一页面,显示了与受害者计算机相关的统计信息,其中包括:IP地址、受感染计算机所在国家、信息情况和木马版本。
Ursnif分布
正如我们在前面所提过的那样,C&C集中分布在乌克兰、俄罗斯、荷兰、美国和意大利。
下图显示了托管服务器每小时样本下载率的统计信息,该分析在2018年11月7日至11月12日期间进行,基于从恶意服务器提供的162493个样本。另外,有趣的是,每个下载的样本在交付之前都会自动进行修复,这样一来每个二进制文件都会具有一个独特的哈希值,这可能是一种绕过基于哈希值IoC指标检测技术的简单方法。
总结
毫无疑问,Ursnif木马仍然是当今最为活跃的威胁之一。Lolbins和无文件攻击的结合,使得Ursnif木马更加难以检测,并且使其更加容易的通过反病毒软件的扫描。
人工智能驱动的行为分析在主动检测此类威胁的过程中发挥了核心作用,Ursnif就是一个很好的例子。如今,针对恶意活动的检测与清除已经是争分夺秒,多一秒延迟就会多一分丢失业务重要信息的风险。
借助ReaQta-Hive等系统,能够迅速检测新威胁及其变种,重建有关其行为和相关风险因素的信息,在恶意软件产生任何真实损失之前快速检测、告警,并阻止潜在威胁。
IoC
DOC文档SHA1哈希值:8d9c9a8d24ff4e41c19c8583e3c5c48db52f147e > Logisticaservicesrl.doc
963CD36B2FBDC70F9B3AF4ED401A28BEB6F969F9 > GRobotica.doc
EDF48AC80E2505241BB4A0378363A3C79FD864B8 > Indalgo.doc
F31155687987ACE4D9F547E069789645680D7272 > Network_Connections.doc
ae4e6c49d120fa07c1112e5b70cd078654a1b009 > Logisticaservicesrl.doc
b902ccbb81c300da92c7428fc30cdc252233249e > Conform.doc
cc42e4b4a0d1a851367eb5265b4408c64aa56dab > Ligoratti.doc
e6934b62bab58efcd64db4c9774b0f9d908715a1 > MetroBlu.doc
EXE可执行文件SHA1哈希值:05450C90E23CFBDFC5122D0004A6CA1A51E769C5 > praf3.xap
2600D8F9301DB916949E0D46872768022F808A7C > ledo5.xap
28B78C0B4C52222D3F6BDB9583D7EEF82EBFCEC4 > crypt_2_3105.exe
3AB9EE0B9B8E3098E1252293FC7D03E43CC69590 > hereye.exe
4E36269327981F417D59AFDED3DDE2D11BA99149 > ledo6.xap
6119095DFC0B80C6948B50E13EACAFF8929B56E3 > ledo2.xap
6502563541E8830D418A3877324F42DF0B510CE5 > ledo3.xap
7F704D1CC07575854E98783AF059371E2FCCC4E8 > ledo1.xap
99405F84372E8CBDF8B85D6C5F749FF3FFEA2764 > praf1.xap
A1C13D9922C58C38E713D3EAFCA70A2A2589C7CC > ledo4.xap
A1DEC1D4523E2E6670F6E45A3924DC4C0121CFFE > ledo7.xap
AC4B5DD954EFCC11FB2AFAB0FDE27476CB0615CF > praf5.xap
AEB75D73E802A7AF08400CED4252CA4455C0DA82 > praf6.xap
C9D09E8767344EC32FD6732173D9557F9C74A802 > praf7.xap
CBD009F09109B38C4BEC3C55E827C8FCED057D2E > praf2.xap
DEE85E063B55D8CF829950E61285078E1BD35164 > crypt_3100.exe
E5C48455F03C18F04D581AE1F95C41C81F653EF2 > praf4.xap
EB3100700F3D95B21892B045A5FF32EBAD38A831 > wync1.xap
Payload服务器与C&C服务器: hxxp://46.17[.]47[.]99/ hxxp://cythromatt[.]com hxxp://djecalciar[.]com hxxp://hutedredea[.]com hxxp://mnesenesse[.]com hxxp://nosenessel[.]com hxxp://ostrolista[.]com hxxp://pilewitene[.]com hxxp://podylostol[.]com hxxp://roidlandev[.]com hxxp://scopoledod[.]com hxxp://shumbildac[.]com hxx