安全中心 > 安全热点分析 > 年底预警:Ursnif银行木马或将再度活跃

年底预警:Ursnif银行木马或将再度活跃

时间:2018年 02月 03日   作者:腾讯反病毒实验室

0x1 概况

 年底了,离发年终奖的日子又近了一些,金融圈的“TA”却先到了。当你美滋滋地在屏幕前查询余额时,电脑中“TA”那双贪婪的眼睛可能也在美滋滋地看着你。“TA”就是金融行业臭名昭著的Ursnif银行木马。

Ursnif银行木马也叫Gozi银行木马,最早出现于2007年,并一直活跃于金融行业。Ursnif功能强大,尤其自2010年其代码泄漏后,该木马逐渐涵盖了键盘记录器、收集剪贴板信息、截屏并上传、盗取邮箱及浏览器存储的密码重启与破坏操作系统收集计算机信息、删除文件上传与下载vnchook浏览发包函数、窃取网银认证信息等等十余种功能。据报道,Ursnif于今年10月份曾对日本金融行业发动攻击,旨在窃取目标用户的敏感信息,并且目前其攻击活动范围出现扩展迹象。

无独有偶,腾讯安全御见情报中心近期也发现Ursnif银行木马在国内频繁活动。该木马通过邮件传播,一旦用户打开邮件附件的宏文档并启用宏功能,Ursnif木马就会自动下载到用户电脑并运行,最终试图窃取用户的邮箱密码、网银帐号密码等敏感信息。此外,一旦黑客下发特定指令,用户电脑将面临操作系统被破坏的大危机。

0x技术分析

1. 恶意word文档行为分析

打开邮件附件中的request.doc文档,电脑会弹出启用宏功能提示。当启用宏,并运行宏里的代码后,mshta.exe会执行网上的一段脚本。对脚本进行UrlDecode解码后,脚本内容显示如下。

 脚本执行后会下载和运行versusb.pfx利用powershell执行hxxp://cash4lcd.com/Stat.counter地址处的的一段脚本,Stat.counter中的脚本会下载和执行1300.exe。

2. versusb.pfx为分析

pe文件中函数少,要作用是为了隐藏真正的payload。当其运行后会先解密出一段shellcode,便于理解,将此shellcode命名为shellcode1,该shellcode会加载和运行payload

 

 

shellcode1 dump来后,分析后发现此shellcode加载真正的payload

 

shellcode1 oep函数结尾处自加载payload1,了方便理解将dump出来的payload1名为payload1.exe

 

3. payload1.exe

Payload1.exe的主作用是进行木马安装,即设置开机自启动项,以及将带真正木马功能的payload2.dll注入到explorer等进程。经过分析发现该木马其实是Ursnif银行木马,源地址为https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb

Payload1.exe运行后会对“.bss段进行解密,很多明文字符串隐藏在其中。

 

接着会利用枚举设备的方法检测是否在虚拟机或vbox中,在获取“explorer.exe进程id时会将进程id异或一个dword值进行存储。

 

 

Payload1.exe通过扫描system32目录下的dll文件,并进行时间对比,利用满足一定条件的dll的名称拼凑出3个随机字符串,一个当作开机自动项注册表值,一个为“%appdata%\ Microsoft”目录下的目录名,一个为payload1.exe的备份文件名,比如在本次分析过程中3个值分别为“brcoider”、“CmluxRes”、“api-Prov.exe”。

 

 

 

着会进行提权判断及解密payload2.dll

 

注入的进程的进程及对应hash下所示

 

4. payload2.dll为分析

    木马主要功能都在payload2.dll涉及到的功能有键盘记录器、收集剪贴板信息、截屏或截屏做成gif文件上传、盗取邮箱及浏览器密码重启与破坏操作系统收集计算机信息、删除文件上传与下载vnchook浏览发包函数盗取认证信息

payload2.dll要以hook的方式收集信息,被注入到其它进程中的payload2.dll用Pipe方式与被注入explorer到进程中的payload2.dll行通信。Payload2.dllpayload1.exe基础函数大致一样,也会对“.bss”进行解密也会使用自定义的crc函数对进程名算hash,行hash比较而不是直接进行字符比较

   

 

 

  

 

 

Hook Explorer进程中的函数,主要是为了方便获取证书等信息以及将dll浏览器等相关进程。Hook 浏览器进程中的函数主要是为了截获网络通信时的http协议,便于盗取银行认证等信息。

 

 

进程

Hook的函数

Explorer.exe

Kernelbase.dll!RegGetValueW

KERNEL32.DLL! CreateProcessA

KERNEL32.DLL! CreateProcessW

ADVAPI32.DLL!CreateProcessAsUserW

ADVAPI32.DLL!CreateProcessAsUserA

ADVAPI32.DLLCryptGetUserKey

CHROME.exe

WS2_32.DLL!closesocket

WS2_32.DLL!Recv

WS2_32.DLL!WSARecv

WS2_32.DLL!WSASend

SSL_Read(函数)

SSL_Write(函数)

SSL_Close(函数)

KERNEL32.DLLLoadLibraryExW

firefox.exe

NSPR4.DLL!PR_Read

NSPR4.DLL!PR_Write

NSPR4.DLL!PR_Close

NSS3.DLL!PR_Read

NSS3.DLL!PR_Write

NSS3.DLL!PR_Close

opera.exe

WS2_32.DLL!closesocket

WS2_32.DLL!Recv

WS2_32.DLL!WSARecv

WS2_32.DLL!WSASend

SSL_Read(函数)

SSL_Write(函数)

SSL_Close(函数)

iexplore.exe/ microsoftedgecp.exe

WININET.DLLInternetReadFile

WININET.DLLInternetWriteFile

WININET.DLLInternetReadFileExA

WININET.DLLInternetReadFileExW

WININET.DLLHttpSendRequestA

WININET.DLLHttpSendRequestW

WININET.DLLInternetQueryDataAvailable

WININET.DLLInternetConnectA

WININET.DLLInternetConnectW

WININET.DLLHttpQueryInfoA

WININET.DLLHttpQueryInfoW

WININET.DLLHttpOpenRequestW

WININET.DLLInternetSetStatusCallback

5. 1300.exe简单分析

  经过分析现此文件的payloadversusb.pfxpayload基本是一致的,只是使用的隐藏技术有不同。

0x3 安全建议

腾讯电脑管家安全专家建议用户特别警惕来历不明的邮件,勿随意点开其中的附件,保持电脑管家的正常开启,可有效拦截此类病毒攻击。

  

附录IOC

C2

responsibleworktermsthe.net

mogolik.at/assets 

hofungo.at/assets 

injoom.cn/assets 

karilor.at/assets 

keep-drop.at/assets 

incomes.at/assets 

inorato.cn/assets 

wawa-go.at/assets 

gopool.at/assets

URL

http://potomuchtosrazuskazaleb.com/AFK/lima.php?utma=versusk

http://sukiebuchnieohuelivobos.com/AFK/lima.php?utma=versusb

http://ebanatibliatskazalebatvas.com/AFK/lima.php?utma=versusa

可执行文件

2C7C44B6F5DF8AF5CF44EF88F9F1BAD1

DD60A3558CA8578F183838331B3E633A

8B64198342354332179DC210E968F361

参考

https://researchcenter.paloaltonetworks.com/2017/02/unit42-banking-trojans-ursnif-global-distribution-networks-identified/

https://securityintelligence.com/gozi-banking-trojan-upgrades-build-to-inject-into-windows-10-edge-browser/

https://www.cybereason.com/blog/labs-using-behavioral-analysis-to-detect-the-ursnif-banking-trojan

https://github.com/gbrindisi/malware

相关热点分析