在文件C：\\ Users \\ Public \\ Administrador \\ car.dat中找到的字符串被解壓并用于添加注冊表項Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <從car.dat中獲取字符串>以獲取持久性，如圖8所示。

圖8：讀取car.dat文件

　　該示例還在同一目錄中查找名為i4.dt的文件，并提取其內容，將文件重命名為icone.vbs，并在\ Software \ Microsoft \ Windows \ CurrentVersion \中創建一個新的持久性鍵值（圖9）運行此文件。

圖9：持久性鍵值

　　該文件中的VBS代碼（圖10）能夠重新創建整個鏈并下載相同的ZIP文件。

圖10：VBS腳本的內容

　　接下來，木馬程序在Program Files目錄中搜索幾個文件夾，其中包括：

　　· C:\\Program Files\\AVG

　　· C:\\Program Files\\AVAST Software

　　· C:\\Program Files\\Diebold\\Warsaw

　　· C:\\Program Files\\Trusteer\\Rapport

　　· C:\\Program Files\\Java

　　· C:\\Program Files (x86)\\scpbrad

　　如果找到任一文件夾，則將此信息以及主機名和操作系統版本以及硬編碼的user-agent“Mozilla / 5.0（Windows NT 6.1; WOW64; rv：12.0）Gecko / 20100101 Firefox / 12.0”發送到硬編碼的域名，格式如圖11所示。AT的值是" = <找到的文件夾列表>"。

圖11：主機枚舉的網絡流量

　　該示例遍歷正在運行的進程，殺死以下進程，并阻止它們啟動：

　　· msconfig.exe

　　· TASKMGR.exe

　　· regedit.exe

　　· ccleaner64.exe

　　· taskmgr.exe

　　· itauaplicativo.exe

　　接下來，它使用GetForegroundWindow獲取用戶正在查看的窗口的句柄，并使用GetWindowText提取窗口的標題。將該標題與巴西銀行和數字貨幣網站的硬編碼清單進行比較。該清單非常廣泛，包括主要組織和小型實體。

　　如果找到這些名稱中的任何一個，并且瀏覽器是下列其中一種，則木馬將終止該瀏覽器。

　　· firefox.exe

　　· chrome.exe

　　· opera.exe

　　· safari.exe

　　創建文件夾C：\ Users \ Public \ Administrador \ logs \存儲屏幕截圖以及用戶在瀏覽銀行網站時觸發的鼠標點擊次數（圖12）。屏幕截圖不斷保存為.jpg圖像。

圖12：惡意軟件捕獲鼠標點擊

　?。ㄈ〤&C

　　命令和控制（C2）服務器根據文件id中的字符串進行選擇：

　　· al -> '185.43.209[.]182'

　　· gr -> '212.237.46[.]6'

　　· pz -> '87.98.146[.]34'

　　· mn -> ’80.211.140[.]235'

　　然后，通過端口9999上的Raw TCP，啟動到其中一臺主機的連接。命令和控制通信通常遵循模式<| Command |>，例如：

　　· <| dispida |> logs> SAVE <'發送gh.txt中收集的屏幕截圖。

　　· ——從C2向主機發送， ——從主機向C2發送，保持連接處于活動狀態。

　　· <| INFO |>——感染首次啟動時，根據car.dat中的文件時間戳獲取主機信息。

　　根據文件“id”中找到的字符串，分析的樣本只能連接四個可能的IP地址。在進一步研究C2的相關基礎設施（圖13）后，就能夠找到這個特定活動的潛在受害者人數。

　　在打開的目錄中，我們能夠獲得與不同的活動相對應的目錄。在每個目錄中，我們可以找到向C2報告的受害者數量的統計數據。截至3/27/2018，數量為：

　　· al – 843

　　· ap – 879

　　· gr – 397

　　· kk – 2,153

　　· mn – 296

　　· pz – 536

　　· tm – 187

　　總結行動#1的圖表如圖14所示。

圖14：#1行動的感染鏈

　　二、行動#2

　　在第二個行動中，FireEye實驗室觀察到電子郵件中包含指向合法域名的鏈接（如hxxps://s3-ap-northeast-1.amazonaws [.] com / /Boleto_Protesto_Mes_Marco_2018.html）或受侵害的域名（如hxxps :// curetusu。 -industria [.]site /），它使用帶有短URL的刷新標記作為目標。短URL將用戶重定向到托管惡意ZIP文件的在線存儲網站，例如Google Drive，Github或Dropbox。圖15顯示了一個釣魚郵件示例。

圖15：網絡釣魚郵件示例

　　ZIP文件包含用AutoIt編寫的惡意可執行文件（內容如圖16所示）。當被用戶執行時，它會將VBS文件放入隨機創建并命名的目錄（如C:\ mYPdr\TkCJLQPX \HwoC \mYPdr.vbs），并從C2服務器獲取內容。

　　圖16：惡意AutoIt可執行文件的內容

　　從C2服務器下載兩個文件，一個是合法的Microsoft工具，另一個是惡意DLL：

　　· https[:]//panel-dark[.]com/w3af/img2.jpg

　　· https[:]//panel-dark[.]com/w3af/img1.jpg

　　這些文件被下載并保存到以下列模式命名的隨機目錄中：

　　· \<5 random chars>\<8 random chars>\<4 random chars>\<5 random chars>.exe

　　· \<5 random chars>\<8 random chars>\<4 random chars>\CRYPTUI.dll

　　執行鏈確保在啟動目錄中使用.lnk文件在受影響的系統上維持持久性。圖17中顯示的.lnk文件打開在系統上投放的惡意VBS。

圖17：持久性鍵值

　　VBS文件（圖18）將啟動并執行下載的合法Windows工具，在本例中為Certmgr.exe。該工具將被濫用使用DLL側加載技術，惡意Cryptui.dll被加載到程序取代合法程序中并執行。

圖18：VBS文件的內容

　?。ㄒ唬┿y行木馬分析

　　與第一個行動中的木馬一樣，此示例通過搜索順序劫持執行。在這種情況下，二進制濫用合法的Windows工具Certmgr.exe，加載Cryptui.dll。由于此工具依賴于名為cryptui.dll的合法DLL，搜索順序路徑將在同一目錄中找到具有相同名稱的惡意木馬并將其加載到進程空間中。

　　惡意DLL導出21個函數。只有DllEntryPoint包含啟動惡意代碼執行所需的實際代碼，其他函數返回沒有真正目的的硬編碼值。

　　在執行時，特洛伊木馬會創建一個名為correria24的互斥體，以便一次只允許其中一個實例運行。

　　惡意軟件試圖解析www.goole [.]com（很可能是拼寫錯誤）。如果成功，它會向hxxp://api-api [.] com/json發送一個請求，檢測受害者的外部IP。只有國家代碼與BR匹配，結果才會被解析并繼續執行，如圖19所示。

圖19：國家代碼檢查

　　在嘗試將收集到的信息發送到C2服務器之前，惡意軟件首次執行時會在%appdata%\ Mariapeirura中創建一個空文件，該文件用作互斥鎖。這樣做是為了每個感染主機只能得到一個報告。

　　惡意軟件收集主機信息，用base64對其進行編碼，并將其發送給兩臺C2服務器。以下項目是從受感染系統收集的：

　　· OS名稱

　　· OS 版本

　　· OS 架構

　　· AV 軟件

　　· 安裝的銀行軟件列表

　　· IP 地址

　　· 惡意軟件執行路徑

　　信息被發送到hxxp://108.61.188.171/put.php（圖20）。

圖20：發送到第一臺C2服務器的主機信息數據

　　相同的信息發送到panel-dark [.] com / Contador / put.php（圖21）。

圖21：發送到第二臺C2服務器的主機信息數據

　　如圖22所示，惡意軟件將注冊表項Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ ExtendedUIHoverTime的值更改為2710，以便在鼠標懸停在任務欄上時更改縮略圖顯示的毫秒數。

圖22：ExtendedUIHoverTime注冊表項更改

　　與第一個行動中的木馬一樣，此示例通過查找硬編碼字符串來檢查前景窗口的標題是否包含巴西銀行和數字貨幣的名稱。

　　惡意軟件在銀行網站上顯示偽造的表格并攔截受害者的憑據。它也可以在后臺有惡意活動時顯示虛假的Windows更新，如圖23所示。

圖23：偽造窗體顯示Windows更新

　　該示例還包含鍵盤記錄功能，如圖24所示。

圖24：鍵盤記錄功能

　?。ǘ〤&C

　　木馬的命令和控制命令結構與第一個示例相同。這些命令由<| Command |>語法表示。

　　· <| OK |>獲取主機上安裝的銀行軟件列表。

　　· ——從C2向主機發送， ——從主機向C2發送，以保持連接處于活動狀態。

　　· <| dellLemb |>刪除注冊表項\ Software \ Microsoft \ Internet Explorer \notes。

　　· EXECPROGAM調用ShellExecute運行命令中給出的應用程序。

　　· EXITEWINDOWS調用ExitWindowsEx。

　　· NOVOLEMBRETE創建并存儲通過命令在注冊表鍵\ Software \ Microsoft \ Internet Explorer \notes中發送的數據。

圖25：部分受害者名單

　　此示例包含大部分加密的重要字符串。我們提供以下腳本（圖26）來解密它們。

圖26：字符串解密腳本

　　三、總結

　　多階段感染鏈的使用讓研究這些類型的行動變得困難。

　　正如我們的研究所證明的，攻擊者正在使用各種技術來逃避檢測，并用銀行木馬感染毫無戒心的葡萄牙語用戶。使用公共云基礎設施來幫助實現不同階段在交付惡意負載方面起著特別重要的作用。使用不同的感染方法結合濫用合法簽名的二進制文件來加載惡意代碼，使得這些行動值得高度關注。

　　IoC

　　行動#1

　　行動#2

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇