攻击巴西和台湾地区的无文件银行木马分析

研究人员近日分析了一个含有多个.bat附件的无文件恶意软件，可以下载含有银行木马payload的powershell，并安装黑客 工具 和信息窃取器。研究人员分析发现，恶意软件会窃取机器信息和用户凭证、扫描与特定巴西银行相关的字符串和其他与保存的outlook联系人相关的网络链接、安装黑客工具RADMIN。统计数据表明受感染最严重的区域有巴西和中国台湾。

除了访问用户银行账户外，从用户访问的网站中窃取的PII和记录的机器凭证会被进一步滥用甚至出售。考虑到金融服务和客户的基础，研究人员认为攻击者可能在不断发展更大的僵尸网络或大规模的邮件目标攻击。

行为分析

图1. 无文件银行木马感染链分析

图2. 含有下载的字符串脚本的batch文件代码

感染后，木马会连接到hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip来下载PowerShell代码，并连接到hxxp://35[.]227[.]52[.]26/loads/20938092830482 来执行代码，连接到其他URL、提取和重命名文件。这些被重命名的文件看似是有效的Windows函数，如可执行文件和图像文件。

图3. 从URL下载和执行PowerShell脚本的脚本

图4. 释放和重命名的样本，看似是合法的Windows文件

恶意软件会在开始菜单中释放.LNK文件，迫使系统在3分钟后重启，并且会锁屏以迫使用户输入用户名和密码。利用系统的安全登陆特征，恶意软件可以检测到输入的错误凭证，并通知用户再次输入。恶意软件还可以用用户的正确凭证登陆系统，并将凭证发送到C2服务器，并删除开始菜单中释放和创建的文件和文件夹以隐藏恶意行为的痕迹。另一个木马会打开outlook来收集保存的邮箱地址，然后发送到C2服务器。如果机器没有安装outlook，就执行下一步但是跳过发送收集的邮箱地址。

图5. 木马强制受感染的机器重启以收集用户凭证和保存的邮箱地址

恶意软件还会释放和安装黑客工具RADMIN以及从GitHub文件夹中下载的配置文件，安装在锥面的文件夹RDP Wrapper中。恶意软件会通过配置文件注册表来隐藏所有远程访问活动，当用户退出系统后，攻击者就可以登陆并获取管理权限，并隐藏屏幕活动。

图6.安装的HKTL_RADMIN.

系统重启和用户登陆后，恶意软件就会删除所有的Google .LNK，并修改LNK的指针cmd.exe /C copy “C:\Users\Public\Chrome.LNK” ,”%Application Data%\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\Google Chrome.LNK” 来替换Google .LNK为恶意.LNK文件来运行恶意文件。然后释放batch文件来加载木马，并将其隐藏到Google Chrome扩展中。恶意软件在执行前会扫描系统来搜索特定的字符串，如果检测到开源开发工具或调试器或cvv digo de seguran这样的特殊字符串就停止运行。恶意软件还会监控用户访问的网站，当点击#signin 或 #login-signin这样的按钮后，就开始监控系统并发送到C2。

当运行环境版本低于Windows  7, 8, 8.1, 10或不是Windows操作系统的话，木马会终止运行，因为用来收集邮件地址、GoogleChrome Login Data和OPENSSL到C2的函数库不支持Windows xp及更早版本。而且攻击中使用的RADMIN版本不支持低于Windows的系统。

该攻击活动被黑的攻击者还在不断更新其恶意软件。Payload中融合了多个特征，包括使用RADMIN增加了受感染的主机被滥用作为僵尸网络的可能性。

总结

网络犯罪分子通过便捷的在线银行服务来对目标发起攻击，考虑到这3个银行在巴西、拉美地区都是最大的，企业和个人用户都可能会成为感染和攻击的入口。除了窃取在线银行凭证和远程访问系统，攻击者还会收集用户邮箱中的联系人邮箱地址用于大规模的垃圾邮件攻击活动，而且可能会被用于钓鱼和BEC攻击。

无文件恶意软件已经不是一个新名词，但是也在不断的发展中，现有了的自动化分析和检测技术仍然很难检测和拦截。研究人员建议用户使用最小权限原则，并加强对职员的信息安全意识培训。