Ursnif持续威胁意大利

2024-01-15 16:40:00 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

简介

Ursnif木马已被视为网络空间领域最活跃的恶意软件威胁，在过去的几天就有新的攻击活动尝试攻击意大利的不同行业和组织。Cybaze-Yoroi ZLab研究人员仔细分析了其感染链来记录持续恶意软件威胁发展的过程，分析了多个不同的阶段，每个阶段都有绕过检测的目的，有时还会使用系统工具来完成最后的目标：运行Ursnif payload。

图1: Ursnif恶意软件感染链活动

技术分析

与之前的攻击活动不同，这次的Ursnif并不使用隐写术或高度混淆的powershell脚本，而是滥用隐藏在压缩的包中的VB脚本。当用户点击Decreto超链接时，就会被重定向到Google Drive web页面，会显示一个展示伪造的文档的伪造的页面，并邀请用户点击下载链接。

图2: 文档“Scarica il documento”

一旦用户点击“Scarica il documento”的链接，就会从blogger[.]scentasticyoga[.]com处下载两个不同的文件到受害者机器上，第一个是混淆的VBS脚本，第二个是用来欺骗受害者的合法图像。

图3: ZIP文件中包含的文件

VBS代码会被混淆来绕过检测，为了迷惑分析人员，所有的值都回以不同的步骤来修改：使用许多数学方法、长的随机变量名和其他base64格式编码的内容。恶意路径回被分成多个部分，然后再运行时再融合再一起，这是一种很基本但是很有效的绕过技术。在第一个反混淆阶段，就可以获取可读性很好的代码。

图4: 恶意VBS代码，左侧为混淆后的，右侧为反混淆的

最后，感染开始，恶意软件运行cmd.exe通过Bitsadmin工具下载eyTWUDW.exe，并保存到%APPDATA%\Local\Temp目录下。

Bitsadmin工具是合法的命令行工具，主要是管理员用来下载系统更新，但是近年来被攻击者滥用并伪装称恶意网络活动。还可以用来管理感染链的下一个组件的下载，下载地址为hxxp://blog[.practicereiki[.com/pagpoftrh54[.php。

然后，加载器会运行schtasks来启动eyTWUDW.exe的执行。Payload临时保存在%APPDATA%\Local\Temp中，然后从http[://link[.kunstsignal[.net/images/W534K5hp8zGWYvpMJkayjGf/FqWxvwp_2F/1_2BEPHtH1r_2FpG5 /o0BuA8sr5LGg /IDwj8Q6mCoq/5nK9XEb3WoD5wW/y8lJVn5t5QXZMUgDQopzF /oO58ImaZl53M5X3E/whzGq3GIOtuCnK6/o3R_2BwMMv/wAo5qeqZ/a[.avi下载下一阶段恶意软件。

通过上面的URL，可能可以拦截下载的加密的payload，然后被eyTWUDW.exe分析，然后经过一个内部解密阶段保存到注册表key中，并在目标机器上建立无文件驻留。

图5: 恶意软件设定的注册表值

恶意软件还会联系C2来确认是否成功感染，发送一个含有用来识别恶意软件植入的参数的check-in HTTP请求：

表 1: Ursnif感染格式

通过分析C2所在的远程目的地址，发现它从2019年3月5日开始活跃，也就是攻击刚开始之前。目的地址对许多AV厂商的未知的，说明该基础设施的一部分主要是在意大利范围内。

eyTWUDW.exe通过以下命令来运行之前保存的脚本，并从注册表子键amxrters调用powershell代码：

powershell  iex([System.Text.Encoding]::ASCII.GetString((Get-ItemProperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\94502524-E302-E68A-0D08-C77A91BCEB4E’ ).amxrters))

其他脚本的内容用base64编码、整数数组、字符代码到字节转化等多层的混淆。然后获取的脚本内容如下所示：

图6: 从注册表键中提取的脚本，左侧为混淆后的，右侧为解混淆的

第一阶段含有恶意软件加载的与操作系统进行交互的依赖，比如kernel32，最后调用的函数表明使用了相同的APC注册技术来注册payload到进程Explorer.exe中。解混淆的中间部分可以看到经典字符串“This program cannot be run in DOS mode”，恶意软件的最后阶段的头部会被注入到Explorer进程。