从*.BAT到银行钓鱼页面

如果你以为使用BAT文件来进行攻击有点过时了,那我得请你想好再说了。在监控我们的安全邮件网关云服务时,我们发现了多个针对巴西用户的可疑的垃圾邮件。接下来,我们就给大家分析一下这个使用BAT文件来实施攻击的巴西恶意软件样本。

下图显示的就是我们所捕捉到的垃圾邮件信息,它们会诱使目标用户去打开邮件中的附件:

从*.BAT到银行钓鱼页面

邮件主题中写的“paulistana”意思是“来源于哪里”,而加上目标用户的名字之后会让邮件的可信度更高。下面给出的是邮件内容:

邮件主题:附件为São Paulo的财务记录,N – 7632630091  邮件内容:附件为我们提供服务的发票…  附件:Nota Fiscal - Pauline City Hall.zip

附件是一个ZIP压缩文档,其中包含了一个批处理文件,它使用了UTF-16编码。当我们使用文本编辑器打开这个文件之后,我们发现了很多中文繁体字符(乱码):

从*.BAT到银行钓鱼页面

0xFEFF的字节顺序标记(BOM)出现在文件的开始部分(标记Unicode文本流的开始),其中包含了隐藏的批处理文件代码。下面给出的是我们使用十六进制编辑器打开后所看到的内容:

从*.BAT到银行钓鱼页面

在对批处理文件进行了深入分析之后,我们发现了如下所示的恶意行为:

1.   在初始化过程中,它会在目标主机中创建目录C:/{随机目录名称};

从*.BAT到银行钓鱼页面

2.   使用PowerShell命令,并下载一个PowerShell脚本以及PShellExec.exe;

从*.BAT到银行钓鱼页面

3.   通过使用PShellExec.exe,它首先会对下载下来的PowerShell脚本进行加密,然后删除原始脚本,并运行加密后的脚本;

从*.BAT到银行钓鱼页面

4.   最后,它会创建一个VBScript脚本,并执行加密后的PowerShell脚本。为了实现持久化感染,它还会在目标系统的启动目录STARTUP文件夹中创建一个符号链接;

从*.BAT到银行钓鱼页面

分析PowerShell脚本

乍看之下,这个脚本貌似参考的是Matthew Graeber之前所开发的PowerShell脚本,即PowerSyringe,一个基于PowerShell的代码/DLL注入模块。不过攻击者在PowerSyringe的基础上还添加了下列代码:

1.   生成了随机字符,并将其用于目录创建;

从*.BAT到银行钓鱼页面

2.   判断目标操作系统是32位还是64位的,并下载相应的DLL文件;

从*.BAT到银行钓鱼页面

Base64解码后的链接:

hxxp://panel-anonimato.cf/TMP/Dexter/Arquiteto.64.dll  hxxp://panel-anonimato.cf/TMP/Dexter/Arquiteto.dll

3.   使用PowerSyringe模块,向svchost.exe注入恶意DLL;

从*.BAT到银行钓鱼页面

注入恶意DLL

当木马成功地将恶意DLL注入到svchost.exe进程中之后,它将会开始监控目标用户的活动,并查看他们是否会访问巴西银行的网站。当用户访问了其中一个银行的网站之后,它将会用伪造的页面和表单来覆盖掉用户的访问界面。这样一来,攻击者就能够获取到目标用户输入的账户名以及密码了。

下面是攻击者在覆盖屏幕时所使用的伪造银行主页以及表单:

1.   Banrisul

从*.BAT到银行钓鱼页面

2.   ItaúUnibanco

从*.BAT到银行钓鱼页面

3.   Bancodo Nordeste

从*.BAT到银行钓鱼页面

4.   BancoSantander

从*.BAT到银行钓鱼页面

5.   Sicoob

从*.BAT到银行钓鱼页面

6.   Sicredi

从*.BAT到银行钓鱼页面

入侵威胁指标IoC

Nota-Fiscal- Prefeitura Paulistana.bat – 邮件附件

MD5:70EA097616DFC8D4AE8B8AD4BDB1CD96  SHA1:E830EC9F194BF72740D9AB62B633E0862E18A143

Ma{username}.vbs– 批处理文件创建的内容

MD5:7FDD656E476FC4AEFF19609FD14FB070  SHA1:451515709EEE19D680A622753CB6802056ED84A5

1.ps1– 下载的脚本

MD5:BA0239533DD7F85CB0D1DF58FC129222  SHA1:7366B78713808D4A23C9FC8B141D1DF1C2FB1FED

{random}.ps1.bin– 编码后的1.ps1

MD5:BAFAEBF21A288826525BA0703EFC384B  SHA1:A4049F8FE337D148B25DD60AA7F1BF9E783538DD

PShellExec.exe– 下载的可执行文件

MD5:B34B92270968DB55AB07633C11AD0883  SHA1:EF2AB66243F385559792ED6360D4A5C0D435C328

Arquiteto.64.dll– 下载的dll文件,针对x64设备

MD5:ED053046882301A893DDA1171D62DD50  SHA1:0A1731A6D594C908866A9A317DE9AAA1BADD3AB1

Arquiteto.dll- 下载的dll文件,针对x86设备

MD5:E94EA2673908D605F08C6A6D666DC97E  SHA1:836C0521DF76EDF48447CA1218DFBF3725010F51 

admin

相关文章
发表回复