臭名昭著的网银木马 Ursnif(a.k.a Gozi),在过去的一年多里,一直将日本作为其主要的攻击对象。该木马的传播方式也很常见,就是利用垃圾电子邮件,附带恶意附件的形式,群发放给指定目标。一旦用户打开其中的附件,就会激活恶意程序,并主动从远程服务器下载 Ursnif 木马的可执行文件。
东京警察局和日本网络犯罪控制中心,已于近期向网络用户发出了恶意电子邮件活跃的警告。经过分析,我们大致确定了用于针对包括日本和几个欧洲国家在内的,网银木马的分发网络结构。该网络主要由两个部分组成:负责传送垃圾电子邮件的僵尸网络,以及一组 web 服务器。
需要说明的是:
垃圾邮件僵尸网络专注于向日本,意大利,西班牙,波兰,澳大利亚以及德国,传送或下载网银木马。
Web服务器则主要用于,托管网银木马及垃圾邮件bot文件,以支持分发的垃圾邮件内的的恶意下载程序,能从远程下载网银木马。
日本Ursnif感染载体的分析
使用我们的威胁情报平台( AutoFocus, Palo Alto Networks )可以观察到,在2016年就有近数百万份发向日本的电子邮件。这些电子邮件内容都是用日语写的(见图1中的示例)。最近的一次监测是今年的一月份,我们发现其附带的附件,是一个由JavaScript编写的恶意下载脚本。一旦该恶意脚本在浏览器成功执行,便会从远程服务器下载 Ursnif,并在受感染的机器上执行它。
图1带有恶意附件的日本电子邮件
Shiotob(a.k.a Bebloh或URLZone)是去年这类攻击中,分布最广的威胁。我们在近700万封的垃圾邮件中,大致确定了多达75种的Shiotob变种。 有趣的是,Shiotob本身就可以窃取用户的网银凭据,但至少在2016的上半年,攻击者却只是利用它来下载远程木马。
图2显示了感染步骤
受害者收到恶意电子邮件并打开附件,Shiotob开始感染受害者系统。
Shiotob开始通过HTTPS通信C2服务器并定期接收命令。
Shiotob基于来自C2服务器的命令,开始下载安装恶意程序(如Ursnif)。
图3从C2下载命令
图3是来自Shiotob C2服务器的命令示例。你可以看到C2在会话中提供了三个“> LD”命令。这是一个从远程服务器上,下载安装文件的指令。其中两个是来自不同位置的,相同Ursnif二进制文件。另一个则是存放在另一台服务器上的,臭名昭著的 Pushdo(a.k.a Cutwail或Pandex)垃圾邮件bot。一旦被感染,将会受控于基于僵尸网络主机命令的垃圾邮件威胁。
垃圾邮件活动
Unit 42 观察到,数以百万计的垃圾邮件攻击日本收件人,其中一些可能同时运行网银木马和垃圾邮件bot。虽然很难知道电子邮件活动的确切数量,但可以观察到的是,针对日本邮件用户的垃圾电子邮件,正呈上升趋势(图4)。我们认为造成这种情况,是由于攻击者增加垃圾电子邮件bot感染的结果。
图4日本恶意电子邮件增长趋势
为了了解垃圾邮件bot的网络活动,我们随机提取了200个唯一的日本IP地址。结果发现,在2016年268000封邮件中,除了Shiotob之外,有将近250种恶意程序被发送(图5)。
图5由200个日本IP地址发送的恶意软件
大多数恶意软件被归类为网银木马或木马下载器。此外,一些下载程序正在安装以上列出的网银木马。僵尸网络显然更专注于通过垃圾邮件提供网银木马。
基于我们的遥测,意大利,日本,西班牙,波兰和德国是他们攻击的主要目标国家。攻击者根据目标定制了分发的电子邮件内容,并使用本地化的电子邮件主题和内容,来吸引使用该语言的人。以下列出了,各个语言的垃圾电子邮件中经常出现的一些词语和主题(表1)。
| Target | Australia | Italy | Japan | Spain | Poland | Ge |
|---|---|---|---|---|---|---|
| Banking Trojans | Ursnif
Shiotob |
KINS
Ursnif |
Shiotob
Ursnif |
Ursnif
Tinba |
Ursnif
Tinba |
Ursnif
KIN |
| Frequent word in Emails | Photo | Foto | 写真 | Foto | Zdj cie | Fot |
| Order | D’ordine | 注文 | Orden | Oferta | Best | |
| Invoice | Fattura | 請求 | Factura | Faktura | Rec | |
| Notification | Notifica | お知らせ | Notificación | Powiadomienie | Versan | |
| Delivery | Recapito | 配達 | Entregar | Dostawa |
表1目标和电子邮件特性
恶意软件托管服务器
接下来,我们开始搜索通过垃圾邮件访问的,恶意软件托管Web服务器。我们很快意识到,该威胁通过在多个服务器上复制威胁文件,使其基础架构冗余。例如,他们将恶意文件放在服务器A和B上,而将另一个文件则放在服务器B和C上(图4)。
图6恶意软件冗余
通过跟踪到服务器和恶意文件的链接,我们在74个服务器上发现了超过200个恶意文件,这些文件自2015年4月到2017年1月,一直被威胁主体所使用。他们大多是,位于欧洲的个人或中小型商业网站。这些网站内容大都已经过时,网站管理员应该已经很久没有维护过他们的服务器了。图7显示了Web服务器的地理位置。
图7 Web服务器的地理位置
图8显示了在Web服务器上发现的恶意软件的详细信息,以及基于我们的遥测从中下载的恶意软件(表2)。结果对应于上一节中SPAM对目标和恶意软件的分析。
图8 Web服务器上的恶意软件
| Malware | Downloading countries |
|---|---|
| Ursnif | Japan, Italy, Spain |
| KINS | Italy |
| Rovnix | Japan |
| Shiotob | Australia, |
| Zeus | Italy |
| Pushdo | Japan, Italy |
表2 Web服务器上发现的恶意软件种类
服务器和恶意文件之间的关系完整图,如下(图9)。
图9服务器和恶意文件之间的关系
总结
此类网银木马,主要通过垃圾电子邮件僵尸网络及被攻陷的web服务器,来部署安装。目前还不清楚该攻击群体,是否利用基础设施和多种威胁攻击多个国家,或是否有许多威胁主体共享它们。
*参考来源 :securitynewspaper,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM)
京公网安备 11010502049343号