全新漏洞利用工具包+银行木马,又见针对网银用户的黑客行动

2020-03-21 12:30:24 admin 8


全新漏洞利用工具包+银行木马,又见针对网银用户的黑客行动


原创 黑客视界 2020-03-20 11:05:18
网络安全

网络安全公司趋势科技最近发现了一起目标锁定日本网银用户的黑客行动,并将其命名为“Operation Overtrap”。据说,这是因为攻击者同时使用了三种不同的手段窃取受害者的银行账户信息:

  • 向受害者发送垃圾电子邮件,通过钓鱼链接将受害者重定向到伪装成银行网站的钓鱼页面;

  • 向受害者发送垃圾电子邮件,诱使受害者通过钓鱼页面下载伪装成可执行文件的恶意软件;

  • 向受害者推送恶意广告,然后借助一个自定义漏洞利用工具包植入恶意软件。

网络安全

图1.“三管齐下”攻击流

在接下来的内容中,我将带来趋势科技在Overtrap行动中出现的漏洞利用工具包Bottle以及新型银行恶意软件Cinobi的详细技术分析。

Bottle漏洞利用工具包分析

根据趋势科技的说法,Bottle漏洞利用工具包(EK)能够利用两个已知漏洞:CVE-2018-15982(Flash Player UAF漏洞)和CVE-2018-8174(VBScript远程执行代码漏洞)。

总的来说,只要受害者使用受这两个漏洞影响的浏览器访问Bottle EK的登录页面,那么他们就会感染Bottle EK的有效载荷(如Cinobi)。

Cinobi的遥测表明,Bottle EK是2020年2月日本最活跃的漏洞利用工具包之一。

网络安全

图2. 2020年2月在日本观察到的漏洞利用工具包活动

Cinobi银行恶意软件概述

如上所述,攻击者在Overtrap行动中使用了一种全新的银行恶意软件,它被趋势科技命名为“Cinobi”。

根据趋势科技的分析,Cinobi有两个版本——第一个版本包含一个用于注入有效载荷的DLL库,能够执行浏览器表单抓取。

除表单抓取外,它还有一Web注入功能,允许攻击者掉包受害者意图访问的网页。

不仅如此,它还可以修改发送到目标网站以及从目标网站接收的网络流量,而所有这些网站几乎都是日本银行的网站。

第二个版本具有第一个版本的所有功能,且新增了能够通过Tor代理与命令和控制(C&C)服务器通信的能力。

Cinobi的四个感染阶段

第一阶段

首先,Cinobi会调用“GetUserDefaultUILanguages”来检查受感染设备的本地语言设置是否为日语。

网络安全

图3.语言设置检查

然后,它将从如下位置下载合法的unzip.exe和Tor应用程序:

  • ftp://ftp[.]cadwork.ch/DVD_V20/cadwork.dir/COM/unzip[.]exe

  • https://archive[.]torproject[.]org/tor-package-archive/torbrowser/8.0.8/tor-win32-0.3.5.8[.]zip

    网络安全

    图4.包含第一阶段下载程序文件的JPG文件

在将Tor应用程序解压缩到“\AppData\LocalLow\”文件夹下之后,Cinobi首先会将tor.exe重命名为taskhost.exe并执行。与此同时,它还会将自定义的torrc文件设置为tor.exe并运行。

  • “C:\Users\<username>\AppData\LocalLow\<random_name>\Tor\taskhost.exe” –f

  • “C:\Users\<username>\AppData\LocalLow\<random_name>\torrc”

然后,它便会从.onion C&C地址下载第二阶段有效载荷,并将其保存到“\AppData\LocalLow\”文件夹下的一个随机命名的DLL文件中。

紧接着,它就将运行第二阶段下载程序

网络安全

图5.第二阶段下载程序

第二阶段

在第二阶段,Cinobi将连接到其C&C服务器,以下载和解码第三阶段文件。

随后,它还将下载并解码包含新C&C地址的配置文件(<随机命名.txt)。

网络安全

图6.解码后的配置文件(RC4加密)

接下来,Cinobi将通过CMSTPLUA COM接口使用UAC旁路方法运行下载的第三阶段文件。

第三阶段

在感染的第三阶段,Cinobi会将恶意软件文件从“\AppData\LocalLow\”复制到“%PUBLIC%”文件夹。然后,它将以Winsock分层服务提供程序(WSCInstallProviderAndChains)的形式安装第四阶段下载程序。

网络安全

图7. 以WSCInstallProviderAndChains形式安装的第四阶段下载程序

Cinobi将执行以下操作:

  • 将后台打印程序服务配置更改为“SERVICE_AUTO_START”;

  • 禁用以下服务:UsoSvc、Wuauserv、WaaSMedicSvc、SecurityHealthService和DisableAntiSpyware;

  • 将Tor文件复制并解压缩到“%PUBLIC%”文件夹;

  • 将tor.exe重命名为taskhost.exe;

  • 在“%PUBLIC%”中创建内容为“DataDirectory C:\Users\Public\<random_nam>\data\tor”的torrc;

  • 使用dropper名称创建JPG文件;

  • 从“\AppData\LocalLow\”移动文件,移动原始的dropper文件。

第四阶段

Cinobi将调用WSCEnumProtocols函数检索有关可用传输协议的信息,以及WSCGetProviderPath函数检索原始传输提供程序的DLL路径。

其中,WSCGetProviderPath函数被被调用两次:第一次调用将返回恶意提供者(因为在感染的第三阶段已安装了恶意软件的第四阶段);第二次调用将返回原始传输提供程序(“%SystemRoot%\system32\mswsock.dll”)并解析,然后调用其WSPStartup函数。

然后,Cinobi将检查注入恶意DLL提供程序的进程的名称。实际上, Cinobi应该被注入使用Windows套接字建立网络连接的所有进程中。

网络安全

图8.注入了恶意DLL提供程序的进程

结语

在Overtrap行动中,尽管攻击者同时使用了三种不同的手段窃取受害者的银行账户信息,但我们不难看出,攻击媒介依旧是垃圾电子邮件和各种漏洞。

由此可见,对员工进行必要的电子邮件使用规范培训很有必要,而及时修复各种系统或软件漏洞,将有助于避免遭受大多数黑客攻击的侵害。


微信服务

微信公众号

电话咨询
解决方案
护航服务
QQ客服