快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

病毒伪装成“汇丰银行”邮件获取用户账号

1、 概述

近日,火绒安全团队发现名为“TrickBot”的后门病毒正在环球范围内通过仿冒邮件提议新一轮收集攻击,全国范围内多家银行以及比特币交易平台(总计269家)的使用者都在此次被攻击范围之内。病毒“TrickBot”目的明确,在于盗取用户的银行账户、比特币账户信息,牟取钱财。

TIM图片20180428150644.png

图:受到病毒攻击威胁的部分银行、比特币交易平台名称

后门病毒“TrickBot”通过伪装成标题为“您的汇丰银行申请文档”的邮件进行传播,并以附件的情势发给用户。其内容极具迷惑性,操作说明、注意事项、客服电话和办公地址等信息包罗万象,用户很难辨别其真伪。而用户一旦关上该文档,文档内的恶意代码将会自动执行,并通过Office漏洞(CVE-2017-11882)下载后门病毒“TrickBot”。下列为受影响版本:

image006.png

病毒“TrickBot”入侵用户电脑后,会盗取其银行账户和比特币交易平台登录信息。同时还会网络用户计算机内的数据信息,包括体系版本,CPU情形,内存,用户名,体系中的服务项,软件装置情形等。不仅云云,病毒团伙可随时通过遥程操控更改病毒代码,WEB黑客,进行其他损坏举动。例如:植入挖矿病毒、勒索病毒等。

火绒工程师通过手艺阐发,发现“TrickBot”早在2016年就已经出现,此次火绒安全团队拦截到的为其变种版本。虽然该病毒的新变种层出不穷,但其首要目标都是盗取用户银行账号、暗码等信息,牟取钱财。

“火绒安全软件”最新版即可查杀后门病毒“TrickBot”,建议近期收到过类似邮件的用户绝快进行排查。此外,目前Microsoft Office已经修复该漏洞,建议用户装置最新补丁,以避免遭遇无须要的丧失。 

二、 具体阐发

近期,火绒截获到一批病毒样本,会行使垃圾邮件配合漏洞文档的情势传播TrickBot病毒。邮件内容将本人伪装成汇丰银行的通知邮件,从而诱骗受害者关上附件中存放的漏洞文档(CVE-2017-11882),文档内容一样将本人伪装成汇丰银行通知内容。漏洞被触发后,病毒会通过走访C&C服务器下载执行TrickBot病毒,TrickBot病毒执行会要求遥程的恶意功能模块到内陆执行,病毒模块功能包括:盗取用户银行账号信息、网络用户内陆操作体系信息、软件装置情形等。病毒传播与执行恶意举动流程图,以下图所示:

image007.png

病毒传播与执行恶意举动流程图

伪造的邮件及文档内容,以下图所示:

image008.png

邮件及文档内容

文档中所包含的CVE-2017-11882漏洞被触发后,会执行PowerShell脚本从C&C服务器(hxxp:// ccmlongueuil.ca、hxxp://guardtrack.uk)下载执行遥程恶意代码。PowerShell代码,以下图所示:

image009.png

PowerShell代码内容

如上图,PowerShell代码执行后会将TrickBot病毒下载至 “%TMP%\bumsiery.exe”地位落后行执行。漏洞触发后的进程关系情形,以下图所示:

 image010.png

进程关系

为了匹敌安全软件查杀,病毒被混淆器进行了混淆。在混淆器代码通过创建窗体、发送窗体新闻的方式匹敌捏造机引擎,在窗体新闻处理函数中创建Timer,当Timer新闻连续被响应360次后才能触发终极的混淆器解密代码。相干代码,以下图所示:

 image011.png

混淆器代码

病毒所使用的字符串数据均被进行过加密处理,在病毒代码使用相干的字符串资源时,会通过解密函数进行暂且解密。解密后的数据被存放在栈中,使病毒阐发人员很难通过查看进程内存镜像的要领找到与病毒功能相干的数据信息,从而加大对病毒的阐发以及逆向复杂度。除此之外,病毒所调用的所有体系API整个通过病毒获取的函数地址表进行调用,从而用上述手段匹敌安全厂商的阐发与查杀。字符串数据解密先后示例,以下图所示:

 image012.png

字符串数据

获取API函数地址表相干代码,以下图所示:

 image013.png

获取API函数表

病毒执行后,起首会创建计划义务创建启动项,且每一隔3分钟就会重复执行一次。以下图所示:

image014.png 

计划义务

在首要病毒代码逻辑执行后,病毒会使用多种不同的命令编号与C&C服务器进行通讯,从而获取不同的遥端数据(包含病毒模块数据及相干设置数据),并将内陆计算机信息以及病毒运行状态上传到服务器。首要命令编号及作用,以下图所示:

image015.png 

首要命令编号与对应功能描摹

C&C服务器返归的数据均被使用AES-256算法进行加密过,数据在受害计算机中也以加密情势进行存放,解密密钥也被存放在归传数据中。从C&C服务器要求到的数据文件及功能描摹,以下图所示:

 image016.png

数据文件及功能描摹

TrickBot病毒具有很强的可扩大性,病毒作者可以随便通过修改C&C服务器返归数据的方式增减病毒模块,执行任意攻击逻辑。病毒在要求到模块数据后,会根据遥程返归的设置文件调用不同导出函数执行恶意代码,TrickBot病毒的病毒模块通常的导出函数共有4个,以下图所示:

 image017.png

病毒模块导出函数

我们现在可以要求到的功能模块共有两个injectdll以及systeminfo,injectdll模块首要用于盗取用户账号,systeminfo模块则用来网络受害者计算机中的体系信息,下文中将按照病毒模块进行逐个说明。用于要求功能模块的遥程设置信息,以下图所示:

 image018.png

用于要求功能模块的遥程设置信息

Injectdll

该病毒模块起首会被注入到svchost进程进行执行,当通过遍历查找阅读器进程进行遥程注入盗取用户账户信息,该病毒只针对IE、Chrome以及FireFox进行盗取。通过对病毒设置信息的筛查,我们发现病毒窃取账户范围无比之广,共包含银行站点、比特币交易平台271个。设置中所触及的个别站点示例,以下图所示:

image019.png 

站点示例

病毒在检测到阅读器进行后会对阅读器进行注入,Hook阅读器进程中的收集要求函数,根据病毒设置规则过滤发送向指定网址的数据。阅读器进程被Hook情形,以下图所示:

 image020.png

阅读器进程被Hook情形

盗取账号相干设置信息分别存放在sinj、dinj以及dpost中。 sinj解密后设置内容示例,以下图所示:

image021.png

sinj设置示例

dinj解密后设置内容示例,以下图所示:

image022.png

dinj设置示例

dpost解密后设置内容,以下图所示:

image023.png

dpost设置内容

Systeminfo

systeminfo模块首要用来获取受害者的计算机信息,首要会网络用户体系版本、CPU信息、内存大小信息,体系服务信息,软件装置信息等,网络到的信息终极会拼接成xml文件。网络内陆信息代码,以下图所示:

image024.png

获取内陆体系信息首要逻辑

行使WMI查询内陆体系版本信息,以下图所示:

image025.png

通过WMI查询体系信息

通过遍历注册表的方式获取当前体系中的软件装置信息,以下图所示:

image026.png

网络软件装置信息

3、 附录

文中触及样本SHA256:

image027.png

* 火绒安全,转载注明来自FreeBuf

您可能还会对下面的文章感兴趣: