记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Amavaldo:针对拉丁美洲的银行木马

2019-08-14 13:05

2017年底,ESET安全研究人员注意到,Delphi编写的银行木马常以巴西、墨西哥和智利等拉丁美洲国家为攻击目标。在对恶意软件进行后续跟踪并将其分类后,ESET确定了10多个新的恶意软件家族,还研究了其分布链和内部的关联性。在这篇文章的开头,我们将讨论此类银行木马的起源,然后介绍一种新识别的恶意软件家族——Amavaldo。

拉丁美洲银行木马的特殊之处在哪?

在进一步讨论之前,让我们先来划分这种银行木马的特征:

· 用Delphi编程语言编写

· 包含后门功能

· 较长的传播链

· 可以将其功能划分为多个组件

· 通常会滥用合法的工具和软件

· 针对西班牙语或葡萄牙语国家

在研究过程中,我们还发现了拉丁美洲银行木马的其它一些相同点。比如它们大多数都是连接到C&C服务器后保持连接,等待服务器发送命令,在收到命令后执行,并等待下一个命令。这些命令可能是由攻击者手动推送的,就好像一个聊天室,所有成员都在其中对管理员所写的内容做出反应。

C&C服务器地址是攻击者保护的重中之重,为此攻击者使用了许多种隐藏实际地址的方法。除了C&C服务器之外,恶意软件还使用唯一的URL来提交受害者身份信息,这有助于受害者的后续跟踪。

这些银行木马还通常使用鲜为人知的加密算法,不同的软件家族使用的加密算法类似。调查过程中我们发现,恶意软件作者很可能是受到了一本书和一个Delphi免费软件库的启发。

恶意软件是用Delphi编写的,表明可执行文件的大小至少为几兆字节,因为Delphi内核存在于每个二进制文件中。此外,大多数拉丁美洲银行木马包含大量资源,这进一步增加了文件大小。我们甚至遇到过文件大小达到几百兆的样本。在这些情况下,文件大小被故意增加以逃避检测。

识别恶意软件家族

在分析这样的可执行文件时,通常很难快速判断它是否是恶意银行木马。加上它们的功能大多相似、派发的来源可能相同,为我们的分类工作增加了难度,这也是我们大多时候只看到通用检测的主要原因。

后来我们开始依据更强的特性进行区分,这些特性主要是字符串如何存储、如何获得C&C服务器地址以及其他代码相似性。

分发链

恶意软件的分发方法中,最简单的是使用单个下载器(Windows可执行文件),下载器有时会伪装成合法的软件安装程序。这种方法很简单,但也不太常见。

更常见的是多级分发链,使用的是由脚本语言(如JavaScript,PowerShell和Visual Basic Script(VBS))编写的多层下载程序。分发链通常至少有三个阶段,最终的有效负载以zip存档的形式提供,该存档仅包含银行木马或其他组件。对于恶意软件来说,这种方法的主要优点是使分析过程变得复杂,但安全产品却相对更容易阻止此类威胁,只需要破坏链中的一个环节就能终止感染。

盗窃策略

与大多数银行木马不同,拉丁美洲的那些不使用网络注入,而是以一种社会工程的形式——不断检测受害者计算机上的活动窗口,如果找到与银行相关的就会发动攻击。

接着就是诱导客户点击银行应用程序的更新,或者是信用卡与银行帐户凭据的验证,弹出假窗口(如图1),或一个虚拟键盘(如图2)来窃取数据,之后将被盗信息发送回攻击者。

1.png

图1.试图窃取授权码的假弹出窗口

2.png

图2.键盘记录程序窃取用户密码

Amavaldo

接下来的文章我们将描述其中一个恶意软件家族,名为Amavaldo。目前这个家族仍在积极开发中,我们观察到的最新版本(10.7)的编译时间戳显示为2019年6月10日。

这是一个模块化的恶意软件,其最终ZIP存档包含三个组件:

· 合法应用程序的副本(EXE)

· 注入器(DLL)

· 加密的银行木马(解密到DLL)

图3显示了Amavaldo最终有效负载ZIP归档文件的内容。

3.png

图3.在文件夹中提取的Amavaldo组件,包括:ctfmon.exe(合法应用程序),MsCtfMonitor(加密银行木马)和MsCtfMonitor.dll(注入器)

下载器将所有ZIP存档内容存储到同一文件夹中的硬盘驱动器中。注入器的名称与捆绑的合法应用程序使用的DLL相匹配。在下载器退出之前,它会执行合法的应用程序。然后:

· 注入器通过DLL Side-Loading执行

· 注入器将自身注入wmplayer.exe或iexplore.exe

· 注入器搜索加密的银行木马(一个名称与注入器DLL名称相匹配的无扩展名文件)

· 如果找到这样的文件,则注入器解密并执行银行木马。

特征

除了模块化的结构外,最强的识别特性是用于字符串混淆的自定义加密方案(图4)。可以看到,除了密钥(绿色)和加密数据(蓝色),代码中还填充了从未使用过的垃圾字符串(红色)。我们在图5中提供了简化的伪代码,以强调算法的逻辑。这个字符串处理例程用于银行木马本身、注入器,甚至我们稍后将描述的下载器。与许多其他拉丁美洲的银行木马不同,这个例程似乎并没有受到前面提到的那本书的启发。

4.png

图4. Amavaldo中的字符串混淆

5.png

图5. Amavaldo字符串解密伪代码,这个算法似乎没有受到前面提到的那本书的启发。

此外,该恶意软件的最新版本可以通过似乎具有常量名称{D7F8FEDF-D9A0-4335-A619-D3BB3EEAEDDB}的互斥锁来识别。

Amavaldo首先收集有关受害者的信息,其中包括:

计算机和OS识别

受害者安装了什么样的银行保护措施。通过搜索以下文件系统路径收集信息:

· %ProgramFiles%\Diebold\Warsaw

· %ProgramFiles%\GbPlugin\

· %ProgramFiles%\scpbrad\

· %ProgramFiles%\Trusteer

· %ProgramFiles%\AppBrad\

· %LocalAppData%\Aplicativo Itau

新版本通过SecureBridge进行通信,SecureBridge是一个提供SSH / SSL连接的Delphi库。

与许多其他此类银行木马一样,Amavaldo支持多个后门命令。这些命令的功能包括:

· 获取截图

· 通过网络摄像头捕捉受害者的照片

· 记录击键

· 下载并执行更多程序

· 限制访问各种银行网站

· 鼠标和键盘模拟

· 自我更新

Amavaldo在攻击受害者时使用了一种与Windows UAC类似的聪明技术。在检测到与银行相关的窗口后,它会对桌面截屏,使其看起来像新的墙纸。然后会显示一个根据活动窗口的文本选择的假弹出窗口,同时禁用多个热键,防止受害者与弹出窗口以外的任何其他东西进行交互。

当我们第一次遇到这个恶意软件系列时,只有巴西银行成为攻击目标,但它自2019年4月起将其范围扩展到了墨西哥银行,根据我们的分析,攻击者现在只关注墨西哥。

分发

我们能够观察到两条分发的途径,一个在今年年初,另一个在今年4月之后。

分发链1:针对巴西

2019年1月,我们观察到针对巴西受害者的此条分发链,攻击者使用MSI安装程序,VBS,XSL(可扩展样式表语言)和PowerShell进行恶意软件分发。

攻击者首先伪造了一个MSI安装程序,诱导期望安装Adobe Acrobat Reader DC的用户。安装程序使用了两个合法的可执行文件:AICustAct.dll(用于检查可用的Internet连接)和VmDetect.exe(用于检测虚拟环境)。

6.png

图6.下载器在虚拟机内运行(左)或没有Internet连接时的错误消息(右)

一旦伪造的安装程序被执行,它就会使用一个嵌入式文件——除字符串之外还包含了一个封装的VBS下载程序(图7)。解包后(图8),它会下载另一个VBS下载器(图9)。请注意,第二个VBS下载程序通过滥用Microsoft Windows WMIC.exe来下载下一个阶段——一个带有嵌入式编码PowerShell的XSL脚本(图10)。最后,PowerShell脚本(图11)负责下载最终的有效负载——一个包含多个文件的zip存档,如表1所示。它还通过创建名为GoogleBol的计划任务来确保持久性。7.png

图7.第一阶段。嵌入在MSI安装程序中的封装VBS下载程序(以红色突出显示)

 8.png

图8.解包的第一阶段9.png

图9.解包的第二阶段。WMIC.exe被滥用来执行下一个阶段

 10.png

图10.第三阶段。包含嵌入式编码PowerShell脚本的大型XSL脚本(以红色突出显示)

11.png

图11.第四(最后)阶段。 一个混淆的PowerShell脚本,用于下载最终的有效负载并执行。

在表1中,可以看到两组有效负载和注入器,两者都使用了前面描述的执行方法。NvSmartMax [.dll]被用于执行Amavaldo;libcurl [.dll]与Amavaldo没有直接关系,因为它会执行一个在Brasil Online(BOL)电子邮件平台自动注册大量新帐户的工具。这些创建的账户的登录名和密码将发送回攻击者。

1565074634(1).jpg

表1.最终有效负载存档的内容及其描述

分发链2:针对墨西哥

此分发链始于一个非常相似的MSI安装程序。不同的是,这一次它包含了一个用作下载器的嵌入式Windows可执行文件。安装程序以伪造的报错消息结束(图12)。之后下载器被执行,通过创建计划任务确保持久性,这次命名为Adobe Acrobat TaskB(图13),然后下载所有Amavaldo组件并执行银行木马,这次没有观察到电子邮件工具。

 12.png

图12.安装程序显示的假消息 13.png

图13.下载程序创建的计划任务

此次攻击针对的目标是公司,攻击者通过伪造简历的方式诱骗员工点击。且由于简历有PDF的格式,运行Adobe Acrobat Reader DC的安装似乎也显得合理。

由于攻击者使用了bit.ly URL短链器,我们可以观察有关其活动的其他信息(图14和15)。 可以看到,这些网址的绝大部分点击都是在墨西哥进行了地理位置定位。 14.png

图14.最近针对墨西哥的Amavaldo活动的统计数据(1) 15.png

图15.最近针对墨西哥的Amavaldo活动的统计数据(2)

结论

在这篇文章中,我们介绍了我们对拉丁美洲银行木马的研究,描述了此类恶意软件的典型特征及其运行方式。并说明了其中一个恶意软件家族——Amavaldo的最典型的特性和目标,详细分析了其最近的分发链。

Amavaldo拥有拉丁美洲银行木马的许多典型特征。它将其功能分成几个组件,滥用合法的应用程序来执行自身和检测虚拟环境,还试图窃取巴西和墨西哥银行的银行信息,并包含后门功能。

本文翻译自:https://www.welivesecurity.com/2019/08/01/banking-trojans-amavaldo/如若转载,请注明原文地址: http://www.hackdig.com/08/hack-55735.htm
知识来源: https://www.4hou.com/web/19590.html

阅读:27467 | 评论:0 | 标签:Web安全 Amavaldo 银行木马

想收藏或者和大家分享这篇好文章→复制链接地址

“Amavaldo:针对拉丁美洲的银行木马”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云