01 概述
2020年3月,安恆信息威脅情報中心在明御APT攻擊(網絡戰)預警平臺發現一批Gozi遠控木馬以疫情為誘餌進行投遞和傳播。
Gozi(又被稱為ursnif)是一款功能強大、通信手段隱蔽的遠控木馬,該家族樣本最早可追溯到2007年的ZeuS和SpyEye遠控。自從2016年左右Gozi遠控被開源後,安恆信息在2017年、2018年曾多次捕獲過該家族木馬的活躍變種樣本。
02 技術分析
本次捕獲的誘餌文檔中內置了宏代碼,背景圖片顯示為文檔加密,目的為誘導用戶允許宏代碼運行。點擊允許之後會彈出虛假進度條,最終提示解密完畢,實際後臺已經開始執行惡意代碼,有較強迷惑性:
第一階段
誘餌文檔第一階段的執行目的為顯示虛假的加載進度條,用於迷惑用戶,同時釋放感染腳本:
進度條代碼抄自網絡來源的開源項目,代碼來源如下:
https://wordmvp.com/FAQs/Userforms/CreateAProgressBar.htm
宏代碼的主要目的是生成一個批處理程序並運行:
待拼接的腳本代碼被隱藏在一個窗口中:
最終拼接的bat腳本如下:
第二階段
腳本執行後進入第二階段,此階段會聯網下載並運行惡意DLL文件。
執行的bat腳本釋放新的VB腳本,並利用rundl32執行所下載的惡意DLL。
第三階段
惡意動態鏈接庫本質上是ursnif的Dropper文件,觸發後進入第三執行階段,該階段主要為遠程控制目的。
根據內置的一些元數據判斷Dropper文件的創建時間為2020年3月3日,同時也包含了一些特徵字符串:
木馬程序使用的偽裝信息如下:
入口點存在明顯特徵:
所有使用的函數都被進行了保護:
內置了多級ShellCode,包含了自修改代碼:
另一段ShellCode:
最終從.rdata段解密出另一個PE文件,跳轉到入口點執行:
第四階段
ShellCode加載後,從內存釋放第四階段樣本,此階段通過郵槽技術進行分析對抗:
從郵槽中讀取出的是下一階段抹去了部分文件頭特徵的DLL:
第五階段
利用郵槽技術釋放的第五階段樣本可以根據特徵明顯確認為ursnif樣本:
此階段的執行中,分析對抗技術採用的是hook了GetProcAddress到apphelp.dll的stubGetProcAddress函數:
利用“.bss”段存儲加密後的配置信息:
木馬程序的“.bss”段包含了配置信息和用於注入到其他關鍵進程用的核心payload:
第六階段
核心Payload是一個被抹去了文件頭部分信息的DLL,名稱為“rpcss.dll”,至此達到第六執行階段:
此DLL的功能非常多,包括APC注入等功能:
文件下載執行:
03 結論
Gozi遠控木馬的完整感染鏈流程如下:
截止目前,利用Gozi遠控木馬傳播的涉疫誘餌文檔主要以英文內容為主,但隨著疫情的不斷髮展,使用此開源家族且將目標轉向國內是有一定的可能性,安恆信息會持續關注該家族的最新動態。
04 明御APT產品
安恆明御APT攻擊(網絡戰)預警平臺能夠發現已知或未知威脅,平臺的實時監控能力能夠捕獲並分析郵件附件投遞的文檔或程序的威脅性,並能夠對郵件投遞、漏洞利用、安裝植入、回連控制等各個階段關聯的木馬等惡意樣本進行強有力的監測。
同時,安恆APT預警平臺根據雙向流量分析、智能的機器學習、高效的沙箱動態分析、豐富的特徵庫、全面的檢測策略、海量的威脅情報等,對網絡流量進行深度分析。檢測能力完整覆蓋整個APT攻擊鏈,有效發現APT攻擊、未知威脅及用戶關心的網絡安全事件。
05 安全建議
1.疫情面前要提高警惕,不要隨意打開郵件附件,尤其是涉及到“疫情”,“新冠病毒”等熱點詞彙的可執行文件。
2.建議個人直接關閉office的宏命令功能,這樣可以最大程度的避免宏病毒的運行,也可以防止因誤操作造成損失。
3.如果無法確定郵件附件的安全性,可以將文件上傳明御APT威脅分析雲平臺進行分析,確認安全後再進行後續操作。
06 相關文件Hash
07 參考鏈接
Gozi源碼:
https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb
閱讀更多 E安全 的文章
