吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11770|回复: 16
收起左侧

[转载] 【转帖】Ursnif木马分析: 隐写术万岁!

[复制链接]
默小白 发表于 2019-2-15 09:36
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 默小白 于 2019-2-15 12:13 编辑

转自:https://xz.aliyun.com/t/4092

文链接:https://blog.yoroi.company/research/ursnif-long-live-the-steganography/

一、介绍

近期,又一波Ursnif木马袭击了意大利。
Ursnif是最活跃的银行木马之一。它也叫Gozi,事实上它是Gozi-ISFB银行木马的一个分支,在2014年它的的源代码被泄露,多年来黑客们更新和扩展了Gozi的功能。经过多次变体,如今的Ursnif木马藏匿于办公文档,其中嵌入了VBA宏,它是作为滴管和多阶段高度混淆的PowerShell脚本,以隐藏真正的Payload。本文讨论的Ursnif使用隐写术制作恶意代码,可以避免AV检测。

此外,这个变体Ursnif木马还使用了QueueUserAPC进程注入技术以更加隐蔽的方式注入到explorer.exe,因为在目标进程中并没有发现有远端进程。

二、技术分析

初始样本显示为错误的Excel文件,它要求用户启用宏以便查看虚假文档,内容通常是采购订单,发票等。

img

提取出宏代码,首先显示恶意软件使用属性Application.International MS Office检测受害者所在国家或地区。在这里是意大利(代码39),同时宏将使用Shell函数执行下一个命令。

img

宏的其他功能有准备shell命令以启动,连接几个不同编码方式的字符串(主要是十进制和二进制)。生成的命令是一个很长的二进制字符串,该字符串将使用以下函数转换为新的Powershell命令:

[Convert]::ToInt16() -as[char]

img

从上图中可以看到,恶意软件将从两个嵌入的URL中至少一个下载图像:

图片文件可以嵌入Powershell命令。这里的图片文件使用Invoke-PSImage脚本制作,该脚本将一些特殊脚本字节嵌入到PNG文件的像素中。

img

继续分析,Base64解码Payload,发现如下代码:

img

可以看出它是十六进制编码,通过我们提到的[Convert] :: ToInt16函数进行解码。

最终的代码是:

img

脚本对受害者的国家再次检查,以确保是意大利。它使用了以下命令:

Get-Culture | Format-List -Property *

如果检查是意大利,那么脚本将从http://fillialopago[.]info/~DF2F63下载EXE格式的Payload,存储在%TEMP%\Twain001.exe并且立即执行。

在分析时,大多数防病毒软件都不能检测出该文件:

img

尽管它的查杀率很低,但是这个EXE文件是一个经典的Ursnif加载器,它用来访问服务器下载恶意二进制文件,最后二进制文件被注入到explorer.exe进程。这里,该EXE文件使用函数IWebBrowser.Navigate从其恶意服务器上felipllet[.]info下载数据。从下图中可以看到,这个URI路径为视频文件(.avi)的路径。

img

服务器响应此请求发送加密数据,如下图所示

img

经过解密分析后,所有有用的数据被储存在注册表HKCU\Software\AppDataLow\Software\Microsoft\{GUID}中。

img

这里它的RegValue名为“defrdisc”(提醒磁盘碎片整理的合法程序),它包含的命令将在下一步或Windows启动时执行,如下图所示。

img

该命令将通过Powershell引擎执行包含在名为“cmiftall”的RegValue中的数据。

C:\Windows\system32\wbem\wmic.exe /output:clipboard process call create “powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\94502524-E302-E68A-0D08-C77A91BCEB4E’).cmiftall))”

这里的“cmiftall”的数据很简单,是以十六进制方式编码的PowerShell脚本,所以它重启后也会执行。

img

使用存储在RegKey中的Powershell脚本(如上图所示),Ursnif可以自动为其包含最终Payload的恶意字节数组分配足够的空间,同时它通过QueueUserAPCSleepEx的调用将其作为合法进程启动。

Ursnif的完整工作流程如图所示:

img

最后,我们分析最后一个脚本的字节数组中的数据,可以提取一个与Ursnif注入explorer.exe进程相对应的DLL 。

可以看到,这个DLL文件似乎已经损坏:

img

但是,当使用APC注入技术将其加载到内存中时,它又可以正常工作。这次,我们将文件提交到VirusTotal检测,结果是灾难性的,没有一个厂商能够正确识别它。

img

三、小结

对比我们在2018年12月的Ursnif分析和2019年1月的Cisco Talos Intelligence,这个新型Ursnif样本使用相同的APC注入技术将二进制文件灌输到explorer.exe进程,过程中使用了各种混淆眼球的隐写术隐匿其恶意行为。Ursnif木马比起以前更加活跃和广泛,虽然木马中C&C地址已经无法访问,但恶意软件植入仍然存在,因为骗子们也在不断地改变他们的C&C域以防止跟踪和分析。

研究人员正在继续分析这个未被发现的DLL,提取信息和证据后将分享出来。

四、IOC
Hashes
  • 630b6f15c770716268c539c5558152168004657beee740e73ee9966d6de1753f (old sample)
  • f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f (new sample)
  • 93dd4d7baf1e89d024c59dbffce1c4cbc85774a1b7bcc8914452dc8aa8a79a78 (final binary)
Dropurls
C2s
  • pereloplatka[.]host
  • roiboutique[.]ru
  • uusisnfbfaa[.]xyz
  • nolavalt[.]icu
  • sendertips[.]ru
IPs
  • 185.158.248.142
  • 185.158.248.143
Artifacts
  • HKCU:\Software\AppDataLow\Software\Microsoft\94502524-E302-E68A-0D08-C77A91BCEB4E
Yara rules
import "pe"
rule Ursnif_201902 {
meta:
    description = "Yara rule for Ursnif loader - January version"
    author = "Yoroi - ZLab"
    last_updated = "2019-02-06"
    tlp = "white"
    category = "informational"
strings:
    $a1 = "PADDINGXX" 
    $a2 = { 66 66 66 66 66 66 66 }
condition:
    all of ($a*) and pe.number_of_sections == 4 and (pe.version_info["OriginalFilename"] contains "Lumen.exe" or pe.version_info["OriginalFilename"] contains "PropositionReputation.exe")
 }

免费评分

参与人数 4吾爱币 +4 热心值 +4 收起 理由
mj2013ly + 1 + 1 谢谢@Thanks!
瑟瑟发抖小菜虾 + 1 + 1 我很赞同!
ClearLover + 1 + 1 很好奇,这样调用的启动会被数字直接拦截吧?
as657366738 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 默小白 发表于 2019-2-15 12:12
tanghengvip 发表于 2019-2-15 11:50
图片怎么不支持markdown啊,都没显示

啊咧,编辑的时候会显示鸭,怎么保存的时候就没有了。。。
ROCK119 发表于 2019-2-16 16:07
hlrlqy 发表于 2019-2-15 10:03
泽美夕 发表于 2019-2-15 11:09
666666666666
tanghengvip 发表于 2019-2-15 11:50
图片怎么不支持markdown啊,都没显示
tmhacker 发表于 2019-2-15 12:29
照着 学习一下
HongChenBaBa 发表于 2019-2-15 13:01
看不懂,难受
头像被屏蔽
加油 发表于 2019-2-15 13:14
提示: 作者被禁止或删除 内容自动屏蔽
hackysh 发表于 2019-2-15 13:39
访问服务器下载恶意二进制文件,最后二进制文件被注入到explorer.exe进程
xudongchu 发表于 2019-2-15 14:39
谢谢您的分享!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:23

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表