快升级你的VMvare虚拟机,木马疯狂传播银行都被入侵了

背景介绍

VMvare虚拟机新版本14.0在前几日已经发布,修补了数量巨多的安全漏洞,日前知名安全团队思科Talos发现了针对南美巴西的银行木马活动,通过窃取用户的证书来非法获利。除了针对巴西用户外,还尝试用重定向等方法来感染用户的计算机。令人意外的是,该木马使用了多重反逆向分析技术,而且最终的payload是用Delphi编写的,而Delphi在银行木马中并不常见,这种大规模的黑客APT攻击,实在少见,黑产活动愈发频繁,国内用户快下载最新的VMvare虚拟机,避开安全漏洞,以免造成严重损失!

感染传播InfectionVector

垃圾邮件

与大多数银行木马活动类似,该木马首先利用恶意垃圾邮件进行传播。攻击者使用的邮件是用葡萄牙语写的,看起来更加真实,收到恶意邮件的人更容易打开恶意附件。

快升级你的VM虚拟机,木马疯狂传播银行都被入侵了

该邮件含有一个名为BOLETO_2248_.html的附件,BOLETO是巴西使用的一种发票。这个HTML文件含有一个简单的重定向:

2ViaBoleto

重定向

HTML附件中的URL会重定向到goo.gl;然后goo.gl再重定向到

:80/wp/wp-content/themes/zerif-lite/97463986909837214092129.rar;最后,重定向的连结会指向一个名为BOLETO_09848378974093798043.jar的JAR文件。如果用户双击该JAR文件,Java就会执行恶意代码并开始安装银行木马。

Java执行

Java代码执行的第一步是设定恶意软体运行的工作环境,从下载需要的其他文件。恶意软体工作在C:\Users\Public\Administrator\directory目录下。然后,Java代码会重命名下载的二进位文件,执行之前重命名的vm.png。

恶意软体加载

首先执行的二进位文件是vm.png,这是经过VMvare签名的合法的二进位文件。

依赖的二进位文件之一是vmwarebase.dll:

Python2.7.12(default,Nov192016,06:48:10)

[GCC5.4.020160609]onlinux2

Type"help","copyright","credits"or"license"formoreinformation.>>>importpefile>>>pe=pefile.PE("vm.png")>>>forentryinpe.DIRECTORY_ENTRY_IMPORT:...printentry.dll

MSVCR90.dll

ADVAPI32.dll

vmwarebase.DLL

KERNEL32.dll

vmwarebase.dll是恶意的二进位代码而不是合法文件,其他攻击者使用的技术有PlugX。PlugX背后的理念是:一些安全产品的可信链是这样的,如果一个二进位文件是可信的(本文中的vm.png),那么它所加载的库默认是可信的。这种加载技术可以绕过一些安全检查。

vmwarebase.dll代码的作用是注入和执行explorer.exe或者notepad.exe中的prs.png代码。注入是通过远程进程的内存分配和加载gbs.png库的LoadLibrary()来执行的。API的使用是通过AES加密来混淆的。

解密结果为

m5ba+5jOiltH7Mff7neiMumHl2s=是LoadLibraryA

QiF3gn1jEEw8XUGBTz0B5i5nkPY=是kernel32.dll。

银行木马

该木马的主要模块含有一系列的特征。比如,会尝试终止如taskmgr.exe,msconfig.exe,regedit.exe,ccleaner.exe,ccleaner64.exe这类程序。该模块会用HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VmwareBase这样看似合法的名字进行註册表登记。

有模块可以获取用户当前窗口的名字,目的是确认用户是否有下面列表中名字的窗口。

NavegadorExclusivoSicoobnetAplicativoItaInternetBankingBNBBanestesInternetBankingBanrisulbb.com.brbancobrasil.comBancodoBrasilAutoatendimentoPessoaFísica-BancodoBrasilinternetbankingcaixaCaixa-AvidapedemaisqueumbancoSICREDIBancoBradescoS/AInternetBanking30horasBanestesInternetBankingBanrisul

这个列表包含了位于巴西的所有目标金融机构,木马注入可以允许他们与银行网站进行交互。主模块的另一个任务是用rundll32.exe执行最后的二进位文件gps.png。

该库使用Themida进行封装,导致很难进行解封。

下面的debug字符串是我们在样本中发现的,这些字符串是葡萄牙语的:

Iniciou!Abriu_IEStartou!

当受感染的主机执行特定操作的时候,这些字符串就会被发送给C2伺服器。C2的配置在i.dk纯文本文件中,该文件使用AES256加密。包含有日期,IP和其他配置项目,如下:

07082017

191.252.65.1396532

结论

银行木马也是安全威胁的一部分,而且在不断发展。经济回报是攻击者的主要动因,也是恶意软体持续发展的原因之一,Themida这样的商业封装软体使对恶意软体的分析变得越来越难,而且这种趋势还在不断发展。

IOCs

927d914f46715a9ed29810ed73f9464e4dadfe822ee09d945a04623fa3f4bc10HTMLattachment5730b4e0dd520caba11f9224de8cfd1a8c52e0cc2ee98b2dac79e40088fe681cRARarchiveB76344ba438520a19fff51a1217e3c6898858f4d07cfe89f7b1fe35e30a6ece9BOLETO_09848378974093798043.jar0ce1eac877cdd87fea25050b0780e354fe3b7d6ca96c505b2cd36ca319dc6cabgbs.png6d8c7760ac76af40b7f9cc4af31da8931cef0d9b4ad02aba0816fa2c24f76f10i.dk

56664ec3cbb228e8fa21ec44224d68902d1fbe20687fd88922816464ea5d4cdfprs.png641a58b667248fc1aec80a0d0e9a515ba43e6ca9a8bdd162edd66e58703f8f98pz.zip79a68c59004e3444dfd64794c68528187e3415b3da58f953b8cc7967475884c2vm.png969a5dcf8f42574e5b0c0adda0ff28ce310e0b72d94a92b70f23d06ca5b438bevmwarebase.dll://thirdculture.tv: