臭名昭著的網銀木馬 Ursnif(a.k.a Gozi),在過去的一年多里,一直將日本作為其主要的攻擊對象。該木馬的傳播方式也很常見,就是利用垃圾電子郵件,附帶惡意附件的形式,群發放給指定目標。一旦用戶打開其中的附件,就會激活惡意程序,并主動從遠程服務器下載 Ursnif 木馬的可執行文件。
東京警察局和日本網絡犯罪控制中心,已于近期向網絡用戶發出了惡意電子郵件活躍的警告。經過分析,我們大致確定了用于針對包括日本和幾個歐洲國家在內的,網銀木馬的分發網絡結構。該網絡主要由兩個部分組成:負責傳送垃圾電子郵件的僵尸網絡,以及一組 web 服務器。
需要說明的是:
垃圾郵件僵尸網絡專注于向日本,意大利,西班牙,波蘭,澳大利亞以及德國,傳送或下載網銀木馬。
Web服務器則主要用于,托管網銀木馬及垃圾郵件bot文件,以支持分發的垃圾郵件內的的惡意下載程序,能從遠程下載網銀木馬。
日本Ursnif感染載體的分析
使用我們的威脅情報平臺( AutoFocus, Palo Alto Networks )可以觀察到,在2016年就有近數百萬份發向日本的電子郵件。這些電子郵件內容都是用日語寫的(見圖1中的示例)。最近的一次監測是今年的一月份,我們發現其附帶的附件,是一個由JavaScript編寫的惡意下載腳本。一旦該惡意腳本在瀏覽器成功執行,便會從遠程服務器下載 Ursnif,并在受感染的機器上執行它。
圖1帶有惡意附件的日本電子郵件
Shiotob(a.k.a Bebloh或URLZone)是去年這類攻擊中,分布最廣的威脅。我們在近700萬封的垃圾郵件中,大致確定了多達75種的Shiotob變種。 有趣的是,Shiotob本身就可以竊取用戶的網銀憑據,但至少在2016的上半年,攻擊者卻只是利用它來下載遠程木馬。
圖2顯示了感染步驟
受害者收到惡意電子郵件并打開附件,Shiotob開始感染受害者系統。
Shiotob開始通過HTTPS通信C2服務器并定期接收命令。
Shiotob基于來自C2服務器的命令,開始下載安裝惡意程序(如Ursnif)。
圖3從C2下載命令
圖3是來自Shiotob C2服務器的命令示例。你可以看到C2在會話中提供了三個“> LD”命令。這是一個從遠程服務器上,下載安裝文件的指令。其中兩個是來自不同位置的,相同Ursnif二進制文件。另一個則是存放在另一臺服務器上的,臭名昭著的 Pushdo(a.k.a Cutwail或Pandex)垃圾郵件bot。一旦被感染,將會受控于基于僵尸網絡主機命令的垃圾郵件威脅。
垃圾郵件活動
Unit 42 觀察到,數以百萬計的垃圾郵件攻擊日本收件人,其中一些可能同時運行網銀木馬和垃圾郵件bot。雖然很難知道電子郵件活動的確切數量,但可以觀察到的是,針對日本郵件用戶的垃圾電子郵件,正呈上升趨勢(圖4)。我們認為造成這種情況,是由于攻擊者增加垃圾電子郵件bot感染的結果。
圖4日本惡意電子郵件增長趨勢
為了了解垃圾郵件bot的網絡活動,我們隨機提取了200個唯一的日本IP地址。結果發現,在2016年268000封郵件中,除了Shiotob之外,有將近250種惡意程序被發送(圖5)。
圖5由200個日本IP地址發送的惡意軟件
大多數惡意軟件被歸類為網銀木馬或木馬下載器。此外,一些下載程序正在安裝以上列出的網銀木馬。僵尸網絡顯然更專注于通過垃圾郵件提供網銀木馬。
基于我們的遙測,意大利,日本,西班牙,波蘭和德國是他們攻擊的主要目標國家。攻擊者根據目標定制了分發的電子郵件內容,并使用本地化的電子郵件主題和內容,來吸引使用該語言的人。以下列出了,各個語言的垃圾電子郵件中經常出現的一些詞語和主題(表1)。
| Target | Australia | Italy | Japan | Spain | Poland | Ge |
|---|---|---|---|---|---|---|
| Banking Trojans | Ursnif
Shiotob |
KINS
Ursnif |
Shiotob
Ursnif |
Ursnif
Tinba |
Ursnif
Tinba |
Ursnif
KIN |
| Frequent word in Emails | Photo | Foto | 寫真 | Foto | Zdj cie | Fot |
| Order | D’ordine | 注文 | Orden | Oferta | Best | |
| Invoice | Fattura | 請求 | Factura | Faktura | Rec | |
| Notification | Notifica | お知らせ | Notificación | Powiadomienie | Versan | |
| Delivery | Recapito | 配達 | Entregar | Dostawa |
表1目標和電子郵件特性
惡意軟件托管服務器
接下來,我們開始搜索通過垃圾郵件訪問的,惡意軟件托管Web服務器。我們很快意識到,該威脅通過在多個服務器上復制威脅文件,使其基礎架構冗余。例如,他們將惡意文件放在服務器A和B上,而將另一個文件則放在服務器B和C上(圖4)。
圖6惡意軟件冗余
通過跟蹤到服務器和惡意文件的鏈接,我們在74個服務器上發現了超過200個惡意文件,這些文件自2015年4月到2017年1月,一直被威脅主體所使用。他們大多是,位于歐洲的個人或中小型商業網站。這些網站內容大都已經過時,網站管理員應該已經很久沒有維護過他們的服務器了。圖7顯示了Web服務器的地理位置。
圖7 Web服務器的地理位置
圖8顯示了在Web服務器上發現的惡意軟件的詳細信息,以及基于我們的遙測從中下載的惡意軟件(表2)。結果對應于上一節中SPAM對目標和惡意軟件的分析。
圖8 Web服務器上的惡意軟件
| Malware | Downloading countries |
|---|---|
| Ursnif | Japan, Italy, Spain |
| KINS | Italy |
| Rovnix | Japan |
| Shiotob | Australia, |
| Zeus | Italy |
| Pushdo | Japan, Italy |
表2 Web服務器上發現的惡意軟件種類
服務器和惡意文件之間的關系完整圖,如下(圖9)。
圖9服務器和惡意文件之間的關系
總結
此類網銀木馬,主要通過垃圾電子郵件僵尸網絡及被攻陷的web服務器,來部署安裝。目前還不清楚該攻擊群體,是否利用基礎設施和多種威脅攻擊多個國家,或是否有許多威脅主體共享它們。
*參考來源 :securitynewspaper,FB小編 secist 編譯,轉載請注明來自FreeBuf(FreeBuf.COM)
京公網安備 11010502049343號