作者:Jaromir Horejsi,Loseway Lu和Marshall Chen
我们遇到了一个使用BEBLOH银行木马针对用户的垃圾邮件活动。 我们在10月24日发现了相当迅速的广告活动,发送了185,902封垃圾邮件,其中90%以上是针对说日语的用户的。 与最近使用互联网查询文件(IQY)和PowerShell来分发BEBLOH和URSNIF银行恶意软件的垃圾邮件活动类似,该活动似乎是从Cutwail僵尸网络发送的。
在我们分析的某些垃圾邮件中,BEBLOH将从命令与控制(C&C)服务器中检索URSNIF恶意软件。 正如之前的垃圾邮件广告系列所示,BEBLOH和URSNIF可以同时发送。 据Crowdstrike报道,此活动来自NARWHAL SPIDER,该活动以隐写术的使用而著称,隐写术将恶意代码隐藏在意外的介质(即图像)中,以逃避基于签名的检测。 图1:垃圾邮件活动的感染链 感染链
垃圾邮件活动的社会工程使用与付款相关的主题行: 注文书の件(关于采购订单) 申请书类の提出 (关于钱高级报告) 纳品书フォーマットの送付(发送送达说明书的格式) 请求データ送付します(发送账单数据)
垃圾邮件中包含一个Microsoft Excel文件,该文件似乎具有命名约定(DOC2410201810 [6个随机数] .xls),如图2所示。该文件如图3所示。 构成发票,并带有日语字符和货币。 然后,敦促用户启用宏来访问文档。 然后,嵌入的恶意宏将构造一个字符串并使用shell命令执行该字符串(如图4所示)。
图2:包含恶意Excel文件的垃圾邮件样本的屏幕截图。 垃圾邮件包含主题行“发送交货单的格式”,并要求收件人检查先前通过电话讨论的文档。
图3:附件文档的屏幕截图。 该文档要求用户“启用编辑”以运行宏; 它还列出了¥60,950的报价,产品编号,单价和金额。 图4:宏代码的屏幕截图(突出显示)
启动宏代码将导致创建批处理文件命令。 如图5所示,cmd.exe参数中有 / V:ON ,根据cmd.exe的文档,该参数可启用延迟的环境变量扩展,这将导致批处理文件中的变量 执行后扩展。 在这种情况下,批处理代码包含一个带有字母的变量和该字母的索引列表。 如果索引值为84,则索引列表的处理结束,并使用另一个 cmd / C 命令执行并置命令。 PowerShell脚本,该脚本下载图像并通过隐写术解密下一个PowerShell脚本。 图5:批处理文件命令(顶部)和cmd / C命令(底部)的屏幕截图 使用隐写术和滥用PowerShell脚本
图6显示了第一个PowerShell脚本的外观,而图7显示了其美化版本。 图8是该图像(620 x 485 PNG图像),其中使用隐写术对另一阶段进行了加密。
如图7所示,脚本获取图像的前三行(3 x 620像素),从每个像素的蓝色通道获取四个低位,然后将它们与绿色通道的四个较低位连接起来,从而形成 每个像素1个字节。 之后,将前1,342个字节转换为ASCII字符,从而形成另一个PowerShell脚本,然后再执行该脚本。 图6:屏幕截图显示了经过模糊处理的PowerShell脚本中的图像URL(突出显示) 图7:美化的PowerShell脚本的屏幕快照(显示算法部分) 图8:下载的图像,它在前三行中隐藏了PowerShell脚本
最后一个PowerShell脚本形成后,不会直接执行它。 相反,它通过剪贴板传递并在以后执行。 由于最后清除了剪贴板,因此感染可以留下很少的感染痕迹。 我们已经看到这种技术在将URSNIF恶意软件提供给说语的用户的其他活动中使用。 最后一个PowerShell脚本具有两层混淆。 这是一个简单的下载器,可检索实际有效载荷BEBLOH。 虽然我们看到的实际有效负载是BEBLOH,但我们还注意到BEBLOH的C&C服务器下载了另一个有效负载,即URSNIF。 图9:去模糊后最后一个PowerShell的屏幕截图; URL导致恶意负载
BEBLOH的功能包括监视浏览器并进行检查以逃避传统的沙箱。 它还可以检索受感染计算机的属性(包括操作系统和网络配置等)。 BEBLOH可以捕获屏幕快照和剪贴板日志,cookie,数字证书,电子邮件凭据以及有关受影响系统的其他信息。
尽管像BEBLOH这样的威胁可能不再是新威胁,但它们的普遍性以及其操作员不断调整其技术并日益滥用合法工具的方式使它们成为可信的威胁。 它们在威胁领域的持久力也凸显了安全卫生的重要性:保持系统更新; 通过保护或限制为系统管理员保留的工具(如PowerShell)来实施最小特权原则; 保护电子邮件网关; 并谨慎处理未经请求的可疑电子邮件。 趋势科技解决方案
为防止垃圾邮件和BEBLOH和URSNIF等威胁,企业可以利用趋势科技™端点解决方案,例如趋势科技Smart Protection Suite和“无忧”企业安全。 两种解决方案都可以通过检测恶意文件和垃圾邮件来保护用户和企业免受威胁,并阻止所有相关的恶意URL。 趋势科技Deep Discovery™解决方案具有用于电子邮件检查的层,可以通过检测恶意附件和URL来保护企业。 即使未在物理端点中下载威胁发现设备,威胁发现设备也可以检测到该远程脚本。
Trend Micro™托管电子邮件安全性是一种无需维护的云解决方案,可提供不断更新的保护,以阻止垃圾邮件,恶意软件,鱼叉式网络钓鱼,勒索软件和高级有针对性的攻击,使其无法进入网络。 此外,趋势科技反垃圾邮件引擎无需使用签名即可检测和阻止恶意文件。 托管电子邮件安全性可以保护Microsoft Exchange,Microsoft Office 365,Google Apps以及其他托管和本地电子邮件解决方案。 趋势科技™电子邮件信誉服务™会在到达时检测到此威胁使用的垃圾邮件。 具有XGen™端点安全性的趋势科技™OfficeScan™与其他检测技术和全球威胁情报融合在一起,实现了高保真机器学习,从而全面防御了高级恶意软件。
妥协指标:
相关哈希(SHA-256): 54303e5aa05db2becbef0978baa60775858899b17a5d372365ba3c5b1220fd2e —检测为X2KM_DONOFF.GOFAI 03fe36e396a2730fa9a51c455d39f2ba8168e5e7b1111102c1e349b6eac93778 — TSPY_SHIOTOB.TFEA 2b277c411944cb25bf454ad5dc38d32e8eed45eac058304982c15646720990cf — TSPY_HPURSNIF.SMZD2
相关的恶意域/ URL: hxxps://images2.imgbox [。] com / ca / 88 / A2ZSlW6S_o [。] png hxxps:// oaril [。] com / auth /(BEBLOH C&C服务器) hxxp:// lersow [。] com / images / beckky [。] exe(URSNIF有效负载)
Akiho Yosuke的其他见解 自2018年10月28日下午6:46更新,以澄清IoC列表中的URSNIF有效负载,以及 BEBLOH如何下载它。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢