再次来袭!Ursnif主题攻击活动深入剖析

再次来袭!Ursnif主题攻击活动深入剖析

在最近几周,Cybaze Z-Lab安全研究人员发现臭名昭著的Ursnif恶意软件出现了一个新变种,其通过恶意垃圾邮件活动打击意大利用户。

Ursnif木马是一个长期活跃的恶意软件,其根源可以追溯到2007年的ZeuS和SpyEye。该恶意软件在每一起恶意活动中都具有强大的感染能力。

实际上,Cybaze Z-Lab提取了几封恶意电子邮件,内容如下所示:

主题:“VS Spedizione DHL AWB 94856978972 proveniente dalla GRAN BRETAGNA AVVISO DI GIACENZA”

附件:“GR930495-30495.zip”

附件的内容是.js文件,当它启动时,可以从网上下载其他组件来执行感染。

第一阶段——恶意软件Dropper

最初的dropper是一个混淆的javascript。一旦运行,它会产生大量噪声网络流量,目的是加强对真正恶意基础设施的检测。从下图中可以看到,该脚本包含一系列看起来很随机、但未能连接的URL,从而在分析环境中产生大量噪声。

再次来袭!Ursnif主题攻击活动深入剖析

恶意软件试图连接以产生噪声的硬编码URL

再次来袭!Ursnif主题攻击活动深入剖析

生成的网络流量噪声

然而,javascript执行的真正恶意操作是在“%APPDATA%\Roaming\ 325623802.bat”路径中创建批处理文件。该文件是一个包含以下代码的简单脚本文件:

再次来袭!Ursnif主题攻击活动深入剖析

提取批处理文件

脚本执行弹出一个无害的pdf格式的“FedEx”手册,用于诱骗受害者。同时它还会从一个受损中文网站上托管的CAB档案中下载并提取一个PE32可执行文件。

再次来袭!Ursnif主题攻击活动深入剖析

第二阶段——下载恶意有效负载

感染链的第二阶段是由dropper下载到“%APPDATA%\ Roaming”路径中的“ppc.cab”文件:它实际上是一个Microsoft Cabinet存档,其中嵌入一个名为“puk.exe”的可执行文件。

“puk.exe”文件会立即生成其自身进程的新副本从而使调试更加困难,然后启动多个Internet Explorer进程以将自身网络活动隐藏在合法进程内。

再次来袭!Ursnif主题攻击活动深入剖析

原始“puk.exe”生成的进程

iexplore.exe进程生成的网络流量指向远程目标149.129.129.1(ALICLOUD-IN)和47.74.131.146(AL-3),它们是攻击者恶意基础设施的一部分。

再次来袭!Ursnif主题攻击活动深入剖析

C2通信网络流量

C2通信中识别的信标模式与Gozi/Ursnif/IFSB/Dreambot恶意软件变体一致。此外,样本采用的特定“/wpapi/”基本网址与本年度此前跟踪的几个恶意垃圾电子邮件活动相匹配(编号EW.N070618、N030618、N010318)。

再次来袭!Ursnif主题攻击活动深入剖析

恶意软件的信标请求

第三阶段——保持持久性

该恶意软件的第三阶段旨在确保其长期持续存在于受感染系统中。它设置了一个包含二进制数据块的特定注册表项:

“HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\6C174C70-DB2B-7E6F-C560-3F92C994E3E6”

再次来袭!Ursnif主题攻击活动深入剖析

恶意软件写入的注册表项

妥协指标(IoC)

再次来袭!Ursnif主题攻击活动深入剖析

结论

整个感染链最终可归纳为四个阶段:生成网络噪声以隐藏攻击者的基础设施;下载可执行的有效负载;通过安装的注册表项实现持久性以及检查和下载Ursnif模块。

再次来袭!Ursnif主题攻击活动深入剖析

感染链模式

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133041.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code