新的Ursnif恶意软件使用无文件感染以避免检测

新的Ursnif恶意软件使用无文件感染以避免检测

Cisco的高级恶意软件防护(AMP)漏洞利用预防引擎检测到一项新的恶意软件活动,该活动使用PowerShell传播Ursnif银行木马以实现持久性无文件方式以逃避反恶意软件解决方案检测。

Ursnif(也被称为Gozi ISFB)是原始Gozi银行特洛伊木马的变种,其源代码2014年在网上泄露,攻击者在其上构建了许多其他银行特洛伊木马菌株,如GozNym。

此外,Ursnif是一个不断发展的Gozi变种,多年来一直定期更新其功能。

Cisco Talos这次发现的Ursnif新活动使用了一种众所周知的有效负载交付方法,该方法使用包含恶意VBA宏的Microsoft Word文档,如果宏已经启用,它就会使用AutoOpen自动运行。

如果没有启用,恶意文档就会显示一个图片要求用户启用宏。

新的Ursnif恶意软件使用无文件感染以避免检测

“启用宏”信息

VBA宏包含一行旨在通过访问“the AlternativeText property of the Shapes object ‘j6h1cf”来进行下一步感染活动的代码。此属性的值是恶意PowerShell命令,该命令随后由Shell函数执行。

此命令使用base64进行编码, dropper用它将Ursnif特洛伊木马下载到AppData文件夹并在受感染的计算机上启动的该命令。

一旦在受感染计算机上执行,Ursnif就会添加新的注册表项,其中包含所需的下一个命令,该命令使用Windows Management Instrumentation命令行(WMIC)来解码最终使用iex执行异步过程调用(APC)注入的新Powershell命令。

新的Ursnif恶意软件使用无文件感染以避免检测

注册表项数据

为了将自身注入到受感染计算机的内存中去、实现无文件持久化,该恶意软件使用以下非常复杂的过程。

注入首先使用VirtualAllocEx为恶意DLL分配内存,目标是当前进程。如果分配成功,就会使用Copy将恶意DLL复制到新分配的内存中。完成后,执行QueueUserAPC,指定其进程中的当前线程。这将创建一个用户模式APC并在线程中排队。要从APC队列执行恶意DLL,线程需要进入可警告状态。通过为其第二个参数bAlertable指定1(True),SleepEx用于触发完成APC注入的可警告状态。

成功感染受害者之后,Ursnif银行特洛伊木马将开始通过HTTPS向其命令和控制服务器发出C2请求,根据Cisco Talos研究团队的说法,包含作为CAB文件存档被过滤的数据。

新的Ursnif恶意软件使用无文件感染以避免检测

通过QueueUserAPC API进行APC注入

Ursnif是无文件持久性的粉丝,这使得传统的反病毒技术难以从正常流量中过滤掉C2流量。此外,Ursnif在进行渗透之前使用CAB文件压缩其数据,这使得此恶意软件更难以检测。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134368.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code