針對意大利Ursnif銀行木馬的示例分析

小編給大家分享一下針對意大利Ursnif銀行木馬的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

本文僅限技術研究與討論，嚴禁用于非法用途，否則產生的一切后果自行承擔。

介紹

近期，又有一波Ursnif攻擊席卷了意大利！

Ursnif是目前活動最為頻繁的銀行木馬，它也被稱為GOZI。實際上，它是Gozi-ISFB銀行木馬的一個變種版本，自從該木馬在2014年泄露了其源代碼之后，攻擊者這些年來一直都在升級和更新Gozi的功能。而且在這個變種版本中，Ursnif還嵌入了針對Office文檔的攻擊“武器”，即惡意VBA宏，它可以作為Dropper或經過混淆的PowerShell腳本來隱藏真正的Payload。除此之外，Ursnif還使用了隱寫術來隱藏惡意代碼并躲避AV檢測。

當然了，這個變種還使用了QueueUserAPC進程注入技術來向explorer.exe注入惡意代碼，這種技術的隱蔽性更強，因為不需要在目標進程中創建遠程線程。

技術分析

初始感染向量以一個無法打開的Excel文件呈現，并要求用戶啟用宏來查看惡意文檔的內容，文件標題通常都是采購訂單或者發票等等。

在對樣本的分析過程中，我們提取出了惡意宏代碼，我們發現代碼回使用Application.International MS Office屬性來檢查用戶的所屬國家。如果返回的國家代碼為意大利（代碼39），惡意宏將會使用Shell函數來執行下一條攻擊指令：

惡意宏剩下的函數主要用來準備Shell命令的執行，并使用各種方法來拼接和編碼字符串。最終的命令代碼包含大量二進制字符串，它們需要使用下列函數來轉化為新的PowerShell命令：

[Convert]::ToInt16()-as[char]

如上圖所示，惡意軟件會嘗試從至少1到2個嵌入的URL地址去下載一張圖片：

https://images2.imgbox[.]com/55/c4/rBzwpAzi_o.pnghttps://i.postimg[.]cc/PH6QvFvF/mario.png?dl=1

這個看似合法的圖片實際上包含了新的PowerShell命令，攻擊者使用了Invoke-PSImage腳本來制作這張惡意圖片，而這個腳本一般用來向PNG文件的像素中嵌入字節或腳本代碼。

Et voilà是另一段經過混淆的PowerShell代碼，Payload采用Base64編碼，所以很好處理：

代碼看似為十六進制編碼，可以通過之前的[Convert]::ToInt16函數進行解碼。

最終的代碼如下：

代碼會再次檢查用戶是否位于意大利，信息由下列命令返回：

Get-Culture| Format-List -Property *

如果檢測結果為假，腳本會從http://fillialopago[.]info/~DF2F63下載一個EXE Payload，然后將其存儲在%TEMP%\Twain001.exe并執行。

在分析的過程中，大多數反病毒軟件都無法檢測到惡意文件：

其中的可執行文件是典型的Ursnif加載器，它負責跟后臺服務器交互并下載需要注入到explorer.exe進程中的惡意代碼。它使用了IWebBrowser.Navigate函數來從其惡意服務器felipllet[.]info下載惡意數據，其中URI路徑會偽造成一個視頻文件（.avi）。

服務器響應的數據為加密數據，如下圖所示：

解密后，全部有用的數據都會存儲在下面這個注冊表鍵中：

HKCU\Software\AppDataLow\Software\Microsoft\{GUID}

注冊表鍵“defrdisc”中包含了下一步需要執行的惡意命令，目標主機啟動之后命令會自動執行：

命令的主要目的就是通過PowerShell引擎來執行“cmiftall”注冊表鍵中的數據：

C:\Windows\system32\wbem\wmic.exe/output:clipboard process call create “powershell -w hiddeniex([System.Text.Encoding]::ASCII.GetString((get-itemproperty‘HKCU:\Software\AppDataLow\Software\Microsoft\94502524-E302-E68A-0D08-C77A91BCEB4E’).cmiftall))”

“cmiftall”注冊表鍵中的數據是一個以十六進制編碼的PowerShell腳本，所以我們可以輕松重構出它所要進行的操作：

Ursnif會使用PowerShell腳本來把惡意代碼存儲到注冊表鍵中，Ursnif能夠通過其惡意字節數組來分配空間，其中包含了最終的惡意Payload，并通過調用QueueUserAPC和SleepEx來嵌入到合法進程之中。

Ursnif的完整工作機制如下圖所示：

入侵威脅指標IoC

哈希：

630b6f15c770716268c539c5558152168004657beee740e73ee9966d6de1753f(老樣本)f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f(新樣本)93dd4d7baf1e89d024c59dbffce1c4cbc85774a1b7bcc8914452dc8aa8a79a78(最終代碼)

Dropurls：

https://images2.imgbox[.]com/55/c4/rBzwpAzi_o.pnghttps://i.postimg[.]cc/PH6QvFvF/mario.png?dl=1https://fillialopago[.]info/~DF2F63http://felipllet[.]info

C&C：

pereloplatka[.]hostroiboutique[.]ruuusisnfbfaa[.]xyznolavalt[.]icusendertips[.]ru

IP：

185.158.248.142185.158.248.143

攻擊組件：

HKCU:\Software\AppDataLow\Software\Microsoft\94502524-E302-E68A-0D08-C77A91BCEB4E

Yara規則

import "pe"rule Ursnif_201902 {meta:       description = "Yara rule for Ursnifloader - January version"       author = "Yoroi - ZLab"       last_updated = "2019-02-06"       tlp = "white"       category = "informational"strings:       $a1 = "PADDINGXX"       $a2 = { 66 66 66 66 66 66 66 }condition:       all of ($a*) and pe.number_of_sections ==4 and (pe.version_info["OriginalFilename"] contains"Lumen.exe" or pe.version_info["OriginalFilename"] contains"PropositionReputation.exe") }

以上是“針對意大利Ursnif銀行木馬的示例分析”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！