網絡安全公司趨勢科技最近發現了一起目標鎖定日本網銀用戶的黑客行動,並將其命名為“Operation Overtrap”。據說,這是因為攻擊者同時使用了三種不同的手段竊取受害者的銀行賬戶信息:
- 向受害者發送垃圾電子郵件,通過釣魚鏈接將受害者重定向到偽裝成銀行網站的釣魚頁面;
- 向受害者發送垃圾電子郵件,誘使受害者通過釣魚頁面下載偽裝成可執行文件的惡意軟件;
- 向受害者推送惡意廣告,然後藉助一個自定義漏洞利用工具包植入惡意軟件。
圖1.“三管齊下”攻擊流
在接下來的內容中,我將帶來趨勢科技在Overtrap行動中出現的漏洞利用工具包Bottle以及新型銀行惡意軟件Cinobi的詳細技術分析。
Bottle漏洞利用工具包分析
根據趨勢科技的說法,Bottle漏洞利用工具包(EK)能夠利用兩個已知漏洞:CVE-2018-15982(Flash Player UAF漏洞)和CVE-2018-8174(VBScript遠程執行代碼漏洞)。
總的來說,只要受害者使用受這兩個漏洞影響的瀏覽器訪問Bottle EK的登錄頁面,那麼他們就會感染Bottle EK的有效載荷(如Cinobi)。
Cinobi的遙測表明,Bottle EK是2020年2月日本最活躍的漏洞利用工具包之一。
圖2. 2020年2月在日本觀察到的漏洞利用工具包活動
Cinobi銀行惡意軟件概述
如上所述,攻擊者在Overtrap行動中使用了一種全新的銀行惡意軟件,它被趨勢科技命名為“Cinobi”。
根據趨勢科技的分析,Cinobi有兩個版本——第一個版本包含一個用於注入有效載荷的DLL庫,能夠執行瀏覽器表單抓取。
除表單抓取外,它還有一Web注入功能,允許攻擊者掉包受害者意圖訪問的網頁。
不僅如此,它還可以修改發送到目標網站以及從目標網站接收的網絡流量,而所有這些網站幾乎都是日本銀行的網站。
第二個版本具有第一個版本的所有功能,且新增了能夠通過Tor代理與命令和控制(C&C)服務器通信的能力。
Cinobi的四個感染階段
第一階段
首先,Cinobi會調用“GetUserDefaultUILanguages”來檢查受感染設備的本地語言設置是否為日語。
圖3.語言設置檢查
然後,它將從如下位置下載合法的unzip.exe和Tor應用程序:
- ftp://ftp[.]cadwork.ch/DVD_V20/cadwork.dir/COM/unzip[.]exe
- https://archive[.]torproject[.]org/tor-package-archive/torbrowser/8.0.8/tor-win32-0.3.5.8[.]zip
圖4.包含第一階段下載程序文件的JPG文件
在將Tor應用程序解壓縮到“\\AppData\\LocalLow\\”文件夾下之後,Cinobi首先會將tor.exe重命名為taskhost.exe並執行。與此同時,它還會將自定義的torrc文件設置為tor.exe並運行。
- “C:\\Users\\<username>\\AppData\\LocalLow\\<random>\\Tor\\taskhost.exe” –f/<random>/<username>
- “C:\\Users\\<username>\\AppData\\LocalLow\\<random>\\torrc”/<random>/<username>
然後,它便會從.onion C&C地址下載第二階段有效載荷,並將其保存到“\\AppData\\LocalLow\\”文件夾下的一個隨機命名的DLL文件中。
緊接著,它就將運行第二階段下載程序。
圖5.第二階段下載程序
第二階段
在第二階段,Cinobi將連接到其C&C服務器,以下載和解碼第三階段文件。
隨後,它還將下載並解碼包含新C&C地址的配置文件(
圖6.解碼後的配置文件(RC4加密)
接下來,Cinobi將通過CMSTPLUA COM接口使用UAC旁路方法運行下載的第三階段文件。
第三階段
在感染的第三階段,Cinobi會將惡意軟件文件從“\\AppData\\LocalLow\\”複製到“%PUBLIC%”文件夾。然後,它將以Winsock分層服務提供程序(WSCInstallProviderAndChains)的形式安裝第四階段下載程序。
圖7. 以WSCInstallProviderAndChains形式安裝的第四階段下載程序
Cinobi將執行以下操作:
- 將後臺打印程序服務配置更改為“SERVICE_AUTO_START”;
- 禁用以下服務:UsoSvc、Wuauserv、WaaSMedicSvc、SecurityHealthService和DisableAntiSpyware;
- 將Tor文件複製並解壓縮到“%PUBLIC%”文件夾;
- 將tor.exe重命名為taskhost.exe;
- 在“%PUBLIC%”中創建內容為“DataDirectory C:\\Users\\Public\\<random>\\data\\tor”的torrc;/<random>
- 使用dropper名稱創建JPG文件;
- 從“\\AppData\\LocalLow\\”移動文件,移動原始的dropper文件。
第四階段
Cinobi將調用WSCEnumProtocols函數檢索有關可用傳輸協議的信息,以及WSCGetProviderPath函數檢索原始傳輸提供程序的DLL路徑。
其中,WSCGetProviderPath函數被被調用兩次:第一次調用將返回惡意提供者(因為在感染的第三階段已安裝了惡意軟件的第四階段);第二次調用將返回原始傳輸提供程序(“%SystemRoot%\\system32\\mswsock.dll”)並解析,然後調用其WSPStartup函數。
然後,Cinobi將檢查注入惡意DLL提供程序的進程的名稱。實際上, Cinobi應該被注入使用Windows套接字建立網絡連接的所有進程中。
圖8.注入了惡意DLL提供程序的進程
結語
在Overtrap行動中,儘管攻擊者同時使用了三種不同的手段竊取受害者的銀行賬戶信息,但我們不難看出,攻擊媒介依舊是垃圾電子郵件和各種漏洞。
由此可見,對員工進行必要的電子郵件使用規範培訓很有必要,而及時修復各種系統或軟件漏洞,將有助於避免遭受大多數黑客攻擊的侵害。
閱讀更多 黑客視界 的文章
