银行木马 邮件钓鱼PowerShell
【微步在线报告】针对智利商业公司的银行木马攻击活动
微步情报局 2018-11-28 12:14:04 726人浏览

TAG:智利 巴西 林德 邮件钓鱼PowerShell 银行木马

TLP:白 (对报告转发及使用不受限制) 

日期:2018-08-17

概要

    基于微步在线的黑客画像系统和狩猎系统,微步在线保持着对上百个包括国家背景的高级APT团伙和黑产类团伙的实时监控和分析。2018年7月中旬,微步在线监测多起针对林德集团的鱼叉式网络钓鱼攻击活动。经分析发现:

  • 受害者为林德智利的会计主管、工程师、技术维护人员、销售经理和定价经理等人员,且受害者收到的钓鱼邮件内容基本与目标职位具有很高的相关性。
  • 攻击者为巴西背景,其攻击手法较为复杂,经过多个阶段,最终投递银行木马到目标系统以窃取银行账密等敏感信息。
  • 银行木马携带有效数字签名和利用了白加黑技术,主要针对智利的银行和保险等金融机构,除具备传统银行木马的功能之外,还具备键盘记录、后门和替换密币钱包等功能。

详情

    2018年7月中旬,微步在线捕获到多封针对林德集团linde.com的鱼叉式网络钓鱼邮件。分析之后发现,受害公司为位于智利首都圣地亚哥的林德智利(Linde Gas Chile S.A 官网www.linde.cl),该司为林德集团在智利的分部,主要从事工业气体、工程和卫生保健相关业务。具体被攻击目标包含会计主管、技术维护人员、工程师、销售经理和定价经理等等。攻击者针对不同身份的目标制作了不同钓鱼邮件,如销售经理、定价经理和会计主管收到的钓鱼邮件内容与快递单或债务投诉有关,针对工程师的则与对话记录有关。

钓鱼邮件都使用西班牙语(智利官方语言)书写,邮件内容诱导目标点击恶意链接下载包含高度混淆的bat文件的压缩包,bat则会下载执行PowerShell脚本,PowerShell则会进一步下载执行银行木马,银行木马则利用了白加黑技术。整体攻击流程如下图:

image.png

相关钓鱼邮件示例:

    1.内容伪装成智利快递公司Chilexpress快递单的邮件:

       image.png

      image.png

      2.内容涉及智利Falabella百货和Sodimac家装连锁的债务投诉的相关邮件:

      image.png

      image.png

      3.内容为“对话历史记录”,针对工程师的钓鱼邮件:

      image.png

      样本分析

      钓鱼邮件会诱导目标点击恶意链接下载包含高度混淆的bat文件的压缩包,bat则会下载执行PowerShell脚本,PowerShell则会进一步下载、解压并执行zip文件中包含的银行木马,并创建快捷方式到启动文件夹下,实现持久化。zip压缩包包含的文件如下:

      文件名 SHA256 界定
      executor.exe 8498900e57a490404e7ec4d8159bee29aed5852ae88bd484141780eaadb727bb 带签名的正常AutoIt脚本解析程序
      executor3.a3x b8ed1de69adc143e56e5053cbb907e24bfcb5a64d1a0c5febc5fadcaa79fa1e0 一段无意义的代码
      neta.dll d0e232ac6602d7c09e5ee233fb5865c1b9286e90973058665e0c76917a50c95d 带签名的银行木马

      其中neta.dll为真正的银行木马,该dll利用有效数字签名和executor.exe白加黑执行来对抗杀软检测。neta.dll基本信息如下:

      文件名 neta.dll
      文件大小 0x8f7690
      SHA256 d0e232ac6602d7c09e5ee233fb5865c1b9286e90973058665e0c76917a50c95d
      SHA1 fb2706c940cb79404eb9f726684fd09ef11755c3
      MD5 9ab4b7c881d6a373039759823d5709a8
      C2 elchefion.ddns.net

      neta.dll携带的有效数字签名:

      image.png

      下面进行详细功能分析

      1. 样本运行时的各种初始化操作:添加防火墙白名单、设置注册表自启动、收集并上传受害者信息等等。

      1)executor.exe程序被执行后,会弹出一个文件加载窗口迷惑受害者,而此时木马程序neta.dll已经被加载执行。neta.dll执行首先会创建一个名为"67E8193CFC305C9546EA5CF432DF042AF6"的互斥体,防止木马运行多个实例进程。

      2)木马被执行之后会收集并上传用户系统信息,具体包含用户名称、操作系统版本、当前程序否是admin权限,和杀毒软件等信息,其中C2为elchefion.ddns.net。

      image.png

      3)添加防火墙白名单,保证网络链接不被告警。

      image.png

      4)样本自身还会添加注册表自启动项来保证持久化。

      image.png

      5)样本成功执行后,自删除启动程序。

      image.png

        2. 银行木马相关功能分析。

          该样本具备根据硬编码的金融机构字符串特征来识别并截获用户的金融操作,记录受害者的键盘操作和剪切板操作等功能。

            1)样本通过查找硬编码字符串来检查置顶窗口标题是否包含智利和巴西等地的银行和保险等金融机构的名称,如检测到则会在银行网站上显示伪造的表格并拦截受害者的凭据。

            image.png

              2)样本发现用户操作比特币转账时,会将比特币地址在粘贴板里替换成黑客自己的比特币账户,黑客的比特币账号为"1QL5o4oJcofNZUHaNFQB6PJrygWaNWJpIIzvsI"。


                3)样本执行时会记录用户的键盘输入。


                  3.样本远控后门分析。

                    样本还具有远程控制功能,执行后会启动一个后门,接受黑客控制,具备上传下载文件,执行其他可执行程序,模拟鼠标操作。相关指令和功能如下表:

                    指令 功能
                    "<|Folder|>" 获取磁盘文件夹结构
                    "<|Files|>" 获取文件内容并上传
                    "<|DownloadFile|>" 下载文件并执行
                    "<|UploadFile|>" 上传文件
                    "<|IXjzwtR|>" 模拟右键点击
                    "<|SuaykRJ|>" 模拟左键双击
                    "vanessa" 弹出窗体诱导用户输入账户密码
                    …… …….

                    溯源分析

                    受害者分析

                    对收件人邮箱进行分析之后发现,受害者为林德集团在智利的分部Linde Gas Chile S.A(官网www.linde.cl)的会计主管、技术维护人员、工程师、销售经理和定价经理等相关人员。

                    Linde Gas Chile S.A相关信息:

                    image.png

                    受害者相关信息:

                    1)收件人:alonso.olazabal@linde.com,身份:销售经理,相关的Linkedin资料

                      WechatIMG283.jpeg

                    2) 收件人:david.lori@linde.com,身份:销售经理,相关的Linkedin资料

                    WechatIMG284.jpeg

                    3)收件人:nino.neira@linde.com,身份:技术维护人员,相关的Linkedin资料

                    WechatIMG285 1.jpeg

                    4)收件人:Grace.Benavente@linde.com,身份:会计主管,相关的Linkedin资料

                    WechatIMG286.jpeg

                    5)收件人:maria.gabriela.sierra@linde.com,身份:销售和定价经理,相关的Linkedin资料

                    WechatIMG287.jpeg

                    6)收件人:alvaro.villarroel@linde.com,身份:SHEQ工程师,相关的Linkedin资料

                    WechatIMG288.jpeg

                    攻击者分析

                    从钓鱼邮件的书写语言推测该团伙熟悉西班牙语。分析攻击者注册的钓鱼域名moduloliberacao.com,其注册邮箱为azevedo.antoniosousa@gmail.com,注册地为巴西Sao Paulo,电话区号+55亦指巴西。推测攻击者为巴西背景,熟悉西班牙语。

                    钓鱼域名相关信息如下:

                    钓鱼域名 注册邮箱 注册时间 注册地 手机号
                    moduloliberacao.com azevedo.antoniosousa@gmail.com 2018/02/15-2019/08/15 Sao Paulo(巴西) +55.11933884999(巴西)
                    moduloprotecao.com azevedo.antoniosousa@gmail.com 2018/02/15-2019/02/15 Sao Paulo(巴西) +55.11933884999(巴西)
                    moduloaplicativo.com azevedo.antoniosousa@gmail.com 2018/08/08-2019/08/08 Sao Paulo(巴西) +55.1133294881(巴西)

                    通过分析攻击者发送的钓鱼邮件、网络资产和银行木马,对攻击者的画像如下:

                    属地/语言 巴西/西班牙语
                    目标国家 智利 
                    目标行业 制造业、工业气体、工程、卫生保健
                    攻击目的 窃取银行账户
                    常用工具 银行木马
                    攻击特点 邮件钓鱼、社工、PowerShell
                        AP_CERT 2018-11-29 07:58:44 回复
                        Bravo
                        今日推荐