01 概述
2020年3月,安恒信息威胁情报中心在明御APT攻击(网络战)预警平台发现一批Gozi远控木马以疫情为诱饵进行投递和传播。
Gozi(又被称为ursnif)是一款功能强大、通信手段隐蔽的远控木马,该家族样本最早可追溯到2007年的ZeuS和SpyEye远控。自从2016年左右Gozi远控被开源后,安恒信息在2017年、2018年曾多次捕获过该家族木马的活跃变种样本。
02 技术分析
本次捕获的诱饵文档中内置了宏代码,背景图片显示为文档加密,目的为诱导用户允许宏代码运行。点击允许之后会弹出虚假进度条,最终提示解密完毕,实际后台已经开始执行恶意代码,有较强迷惑性:
第一阶段
诱饵文档第一阶段的执行目的为显示虚假的加载进度条,用于迷惑用户,同时释放感染脚本:
进度条代码抄自网络来源的开源项目,代码来源如下:
https://wordmvp.com/FAQs/Userforms/CreateAProgressBar.htm
宏代码的主要目的是生成一个批处理程序并运行:
待拼接的脚本代码被隐藏在一个窗口中:
最终拼接的bat脚本如下:
第二阶段
脚本执行后进入第二阶段,此阶段会联网下载并运行恶意DLL文件。
执行的bat脚本释放新的VB脚本,并利用rundl32执行所下载的恶意DLL。
第三阶段
恶意动态链接库本质上是ursnif的Dropper文件,触发后进入第三执行阶段,该阶段主要为远程控制目的。
根据内置的一些元数据判断Dropper文件的创建时间为2020年3月3日,同时也包含了一些特征字符串:
木马程序使用的伪装信息如下:
入口点存在明显特征:
所有使用的函数都被进行了保护:
内置了多级ShellCode,包含了自修改代码:
另一段ShellCode:
最终从.rdata段解密出另一个PE文件,跳转到入口点执行:
第四阶段
ShellCode加载后,从内存释放第四阶段样本,此阶段通过邮槽技术进行分析对抗:
从邮槽中读取出的是下一阶段抹去了部分文件头特征的DLL:
第五阶段
利用邮槽技术释放的第五阶段样本可以根据特征明显确认为ursnif样本:
此阶段的执行中,分析对抗技术采用的是hook了GetProcAddress到apphelp.dll的stubGetProcAddress函数:
利用“.bss”段存储加密后的配置信息:
木马程序的“.bss”段包含了配置信息和用于注入到其他关键进程用的核心payload:
第六阶段
核心Payload是一个被抹去了文件头部分信息的DLL,名称为“rpcss.dll”,至此达到第六执行阶段:
此DLL的功能非常多,包括APC注入等功能:
文件下载执行:
03 结论
Gozi远控木马的完整感染链流程如下:
截止目前,利用Gozi远控木马传播的涉疫诱饵文档主要以英文内容为主,但随着疫情的不断发展,使用此开源家族且将目标转向国内是有一定的可能性,安恒信息会持续关注该家族的最新动态。
04 明御APT产品
安恒明御APT攻击(网络战)预警平台能够发现已知或未知威胁,平台的实时监控能力能够捕获并分析邮件附件投递的文档或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,安恒APT预警平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
05 安全建议
1.疫情面前要提高警惕,不要随意打开邮件附件,尤其是涉及到“疫情”,“新冠病毒”等热点词汇的可执行文件。
2.建议个人直接关闭office的宏命令功能,这样可以最大程度的避免宏病毒的运行,也可以防止因误操作造成损失。
3.如果无法确定邮件附件的安全性,可以将文件上传明御APT威胁分析云平台进行分析,确认安全后再进行后续操作。
06 相关文件Hash
07 参考链接
Gozi源码:
https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb
閱讀更多 E安全 的文章
