安全路透社
当前位置:安全路透社 > 网络转载 > 正文

针对网银木马Ursnif的全球网络分销检测及分析

臭名昭著的网银木马 Ursnif(a.k.a Gozi),在过去的一年多里,一直将日本作为其主要的攻击对象。该木马的传播方式也很常见,就是利用垃圾电子邮件,附带恶意附件的形式,群发放给指定目标。一旦用户打开其中的附件,就会激活恶意程序,并主动从远程服务器下载 Ursnif 木马的可执行文件。

东京警察局和日本网络犯罪控制中心,已于近期向网络用户发出了恶意电子邮件活跃的警告。经过分析,我们大致确定了用于针对包括日本和几个欧洲国家在内的,网银木马的分发网络结构。该网络主要由两个部分组成:负责传送垃圾电子邮件的僵尸网络,以及一组 web 服务器。

需要说明的是:

垃圾邮件僵尸网络专注于向日本,意大利,西班牙,波兰,澳大利亚以及德国,传送或下载网银木马。

Web服务器则主要用于,托管网银木马及垃圾邮件bot文件,以支持分发的垃圾邮件内的的恶意下载程序,能从远程下载网银木马。

日本Ursnif感染载体的分析

使用我们的威胁情报平台( AutoFocus, Palo Alto Networks )可以观察到,在2016年就有近数百万份发向日本的电子邮件。这些电子邮件内容都是用日语写的(见图1中的示例)。最近的一次监测是今年的一月份,我们发现其附带的附件,是一个由JavaScript编写的恶意下载脚本。一旦该恶意脚本在浏览器成功执行,便会从远程服务器下载 Ursnif,并在受感染的机器上执行它。

Picture1-1.png

图1带有恶意附件的日本电子邮件

Shiotob(a.k.a Bebloh或URLZone)是去年这类攻击中,分布最广的威胁。我们在近700万封的垃圾邮件中,大致确定了多达75种的Shiotob变种。 有趣的是,Shiotob本身就可以窃取用户的网银凭据,但至少在2016的上半年,攻击者却只是利用它来下载远程木马。

Picture2-1.png

图2显示了感染步骤

  1. 受害者收到恶意电子邮件并打开附件,Shiotob开始感染受害者系统。
  2. Shiotob开始通过HTTPS通信C2服务器并定期接收命令。
  3. Shiotob基于来自C2服务器的命令,开始下载安装恶意程序(如Ursnif)。

Picture3-1.png

图3从C2下载命令

图3是来自Shiotob C2服务器的命令示例。你可以看到C2在会话中提供了三个“> LD”命令。这是一个从远程服务器上,下载安装文件的指令。其中两个是来自不同位置的,相同Ursnif二进制文件。另一个则是存放在另一台服务器上的,臭名昭著的 Pushdo(a.k.a Cutwail或Pandex)垃圾邮件bot。一旦被感染,将会受控于基于僵尸网络主机命令的垃圾邮件威胁。

垃圾邮件活动

Unit 42 观察到,数以百万计的垃圾邮件攻击日本收件人,其中一些可能同时运行网银木马和垃圾邮件bot。虽然很难知道电子邮件活动的确切数量,但可以观察到的是,针对日本邮件用户的垃圾电子邮件,正呈上升趋势(图4)。我们认为造成这种情况,是由于攻击者增加垃圾电子邮件bot感染的结果。

Picture4.png

图4日本恶意电子邮件增长趋势

为了了解垃圾邮件bot的网络活动,我们随机提取了200个唯一的日本IP地址。结果发现,在2016年268000封邮件中,除了Shiotob之外,有将近250种恶意程序被发送(图5)。

Picture5.png

图5由200个日本IP地址发送的恶意软件

大多数恶意软件被归类为网银木马或木马下载器。此外,一些下载程序正在安装以上列出的网银木马。僵尸网络显然更专注于通过垃圾邮件提供网银木马。

基于我们的遥测,意大利,日本,西班牙,波兰和德国是他们攻击的主要目标国家。攻击者根据目标定制了分发的电子邮件内容,并使用本地化的电子邮件主题和内容,来吸引使用该语言的人。以下列出了,各个语言的垃圾电子邮件中经常出现的一些词语和主题(表1)。

Target Australia Italy Japan Spain Poland Ge
Banking Trojans Ursnif

Shiotob

KINS

Ursnif

Shiotob

Ursnif

Ursnif

Tinba

Ursnif

Tinba

Ursnif

KIN

Frequent word in Emails Photo Foto 写真 Foto Zdjęcie Fot
Order D’ordine 注文 Orden Oferta Best
Invoice Fattura 請求 Factura Faktura Rec
Notification Notifica お知らせ Notificación Powiadomienie Versan
Delivery Recapito 配達 Entregar Dostawa

表1目标和电子邮件特性

恶意软件托管服务器

接下来,我们开始搜索通过垃圾邮件访问的,恶意软件托管Web服务器。我们很快意识到,该威胁通过在多个服务器上复制威胁文件,使其基础架构冗余。例如,他们将恶意文件放在服务器A和B上,而将另一个文件则放在服务器B和C上(图4)。

Picture6.png

图6恶意软件冗余

通过跟踪到服务器和恶意文件的链接,我们在74个服务器上发现了超过200个恶意文件,这些文件自2015年4月到2017年1月,一直被威胁主体所使用。他们大多是,位于欧洲的个人或中小型商业网站。这些网站内容大都已经过时,网站管理员应该已经很久没有维护过他们的服务器了。图7显示了Web服务器的地理位置。

Picture7.png

图7 Web服务器的地理位置

图8显示了在Web服务器上发现的恶意软件的详细信息,以及基于我们的遥测从中下载的恶意软件(表2)。结果对应于上一节中SPAM对目标和恶意软件的分析。

Picture8.png

图8 Web服务器上的恶意软件

Malware Downloading countries
Ursnif Japan, Italy, Spain
KINS Italy
Rovnix Japan
Shiotob Australia,
Zeus Italy
Pushdo Japan, Italy

表2 Web服务器上发现的恶意软件种类

服务器和恶意文件之间的关系完整图,如下(图9)。

Picture9.png

图9服务器和恶意文件之间的关系

总结

此类网银木马,主要通过垃圾电子邮件僵尸网络及被攻陷的web服务器,来部署安装。目前还不清楚该攻击群体,是否利用基础设施和多种威胁攻击多个国家,或是否有许多威胁主体共享它们。

*参考来源 :securitynewspaper,FB小编 secist 编译

未经允许不得转载:安全路透社 » 针对网银木马Ursnif的全球网络分销检测及分析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册