安全路透社
当前位置:安全路透社 > 网络转载 > 正文

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

网络犯罪分子其实都是机会主义者,随着各类操作系统的应用范围越来越广泛,他们也在不断地丰富自己的工具和技术。与此同时,为了尽可能地在网络犯罪活动中谋取更多的经济利益,犯罪分子们在选择受攻击目标时也呈现出一种多样化的趋势。这也是恶意软件的价值主张,现在越来越多的恶意软件已经实现了跨平台感染,如果能够配合一种专门的商业模式来向其他的坏人兜售这些恶意软件的话,那么这些恶意软件的影响范围还会进一步扩大。

今天的主角是Adwind/jRAT,趋势科技将其标识为JAVA_ADWIND。这是一款跨平台的远程访问木马(RAT),它可以感染任何安装了Java的设备,包括Windows、macOS、Linux和Android平台。近期,我们在一次垃圾邮件活动中再一次检测到了Adwind。但这一次,它主要针对的是航空航天工业领域的企业,受影响比较严重的国家地区包括瑞士、乌克兰、澳大利亚和美国。

Adwind异常活跃

从今年年初开始,Adwind被检测到的频率就一直在稳步增长,从2017年1月份的5286次猛增到了6月份的117649次,而且我们基本上都是在垃圾邮件活动中检测到的JAVA_ADWIND。值得注意的是,2017年5月到6月之间,JAVA_ADWIND的出现频率增长了107%,这也表明网络犯罪分子正在积极地推送和传播Adwind。

研究人员表示,Adwind/jRAT可以窃取用户凭证、收集和记录键盘信息、保存屏幕、电影或视频截图、以及从目标主机中提取数据。此前曾有攻击者利用Adwind的变种版本攻击银行丹麦企业,Adwind甚至还可以用受感染设备组成僵尸网络。

作为一款臭名昭著的跨平台RAT,Adwind还有很多其他的“昵称”,例如jRAT、UNRECOM、AlienSpyFrutasJSocket等等。在2014年,我们还发现了Android版本的Adwind/jRAT,令人惊讶的是,这个Android版本的Adwind竟然具备了挖矿的能力(涉及区块链和加密货币)。实际上,Adwind是作为一种服务来进行出售的,这也就意味着任何一位网络犯罪分子都可以根据自己的需要来修改和定制自己的Adwind版本。

下图显示的是研究人员在2017年1月至6月期间检测到JAVA_ADWIND的次数:

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

下图为Adwind的感染链:

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

垃圾邮件活动主要通过两种方式进行

我们所观察到的垃圾邮件活动主要有两波,而且都可以作为社会工程学的典型应用案例。我们在2017年6月7日观察到了第一波感染,当时Adwind使用了不同的URL地址来向目标用户传播由.NET编写的恶意软件,而且这些恶意软件还具备间谍软件的功能。第二波感染在6月14日被观察到,当时Adwind使用了不同的域名来托管恶意软件和C&C服务器。这两波感染使用的都是相似的社会工程学技巧,即欺骗用户去点击恶意URL地址。

攻击者会假冒地中海游艇委员会(MYBA)来向目标用户发送垃圾邮件,垃圾邮件的主题栏中写的是“Changes in 2017 – MYBA Charter Agreement”,并通过这种方式尝试给潜在的目标用户造成紧迫感。除此之外,攻击者不仅使用的是伪造的发件人地址(info[@]myba[.]net),而且还会在邮件中提供看似合法的内容来欺骗用户点击恶意URL链接。

下图为发送至C&C服务器的消息截图:

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

下图为垃圾邮件截图:

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

分析Adwind的攻击链

恶意URL链接将会投放一个程序信息文件(PIF),PIF中包含关于Windows如何运行MS-DOS应用的信息,并且可以像普通可执行程序(EXE)一样直接运行。这个文件采用.NET编写,其功能相当于一个下载器。在成功修改了系统证书之后,这个PIF文件便会启动Adwind的感染链。

我们跟踪的URL指向的是一个恶意PIF文件(TROJ_DLOADR.AUSUDT),其中包含各种与网络钓鱼和垃圾邮件相关的HTML文件,而这些HTML页面很有可能就是攻击者用来欺骗目标用户点击恶意URL时所用的。

下载器会通过调用Windows API来尝试修改系统证书:

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

如下图所示,恶意代码成功修改了证书:

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

系统证书被恶意篡改之后,下载器便会从一个域名下载Java EXE、动态链接库DLL和7-Zip安装程序,而这个域名指向的是垃圾邮件操作者所使用的文件共享平台:

hxxps://nup[.]pw/DJojQE[.]7z
hxxp://nup[.]pw/e2BXtK[.]exe
hxxps://nup[.]pw/9aHiCq[.]dll

下图显示的是垃圾邮件操作者所使用的文件托管服务器域名:

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

应对措施

Adwind是一款基于Java的跨平台恶意软件,所以网关终端节点网络服务器移动设备都有可能受其影响。广大IT/系统管理员、信息安全专家和开发者/程序员在使用Java工作时应该遵守最佳的Java安全实践,并随时保持Java版本为最新版

在Adwind攻击链中,最重要的一个环节就是社会工程学技术了,这也表明我们现在急需对企业员工进行网络安全意识教育,并培养员工对垃圾邮件的敏感度:当你打开一份电子邮件时,你在进行任何点击操作之前一定要三思而后行。

Adwind的主要感染向量为垃圾邮件,这也突出了保护邮件网关安全的重要性。电子邮件作为系统和网络的一个入口点,广大管理员应该部署垃圾邮件过滤器、安全策略和电子邮件安全机制来缓解这种基于电子邮件的安全威胁。除此之外,管理员还应该部署最佳实践方案来防止类似Adwind这样的恶意软件从你的网络(涉及BYOD)中窃取重要数据。

IoC入侵检测指标

与Adwind/jRAT相关的文件和URL:

hxxp://ccb-ba[.]adv[.]br/wp-admin/network/ok/index[.]php
hxxp://www[.]employersfinder[.]com/2017-MYBA-Charter[.]Agreement[.]pif
hxxps://nup[.]pw/e2BXtK[.]exe
hxxps://nup[.]pw/Qcaq5e[.]jar

相关哈希值:

3fc826ce8eb9e69b3c384b84351b7af63f558f774dc547fccc23d2f9788ebab4(TROJ_DLOADR.AUSUDT)
c16519f1de64c6768c698de89549804c1223addd88964c57ee036f65d57fd39b(JAVA_ADWIND.JEJPCO)
97d585b6aff62fb4e43e7e6a5f816dcd7a14be11a88b109a9ba9e8cd4c456eb9(JAVA_ADWIND.AUJC)
705325922cffac1bca8b1854913176f8b2df83a70e0df0c8d683ec56c6632ddb(BKDR64_AGENT.TYUCT)

相关C&C服务器:

174[.]127[.]99[.]234 Port 1033
hxxp://vacanzaimmobiliare[.]it/testla/WebPanel/post[.]php

* 参考来源:trendmicro, FB小编Alpha_h4ck编译

未经允许不得转载:安全路透社 » 跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册