當前位置:
首頁 > 新聞 > 垃圾郵件活動使用XTRAT、DUNIHI和Adwind後門

垃圾郵件活動使用XTRAT、DUNIHI和Adwind後門

新聞 04-21

簡介

研究人員檢測到一個垃圾郵件活動,通過跨平台的遠程訪問木馬(RAT)Adwind和後門XTRAT。垃圾郵件活動還會使用一個竊取信息的Loki(TSPY_HPLOKI.SM1)。

DUNIHI (VBS_DUNIHI.ELDSAVJ)是一個有後門和蠕蟲功能的很著名的VB腳本,在某些單獨的事件中,該腳本在垃圾郵件活動中與Adwind一起釋放。Adwind-XTRAT-Loki和Adwind-DUNIHI背後的犯罪分子會濫用合法和免費的動態DNS伺服器hopto[.]org。用不同的後門集應該是為了增加系統感染的可能性,如果一個惡意軟體被檢測到,其他的惡意軟體就會嘗試結束工作。

從2018年1月到2018年4月,一共檢測到5535起Adwind樣本量,受影響最大的區域有美國,日本,澳大利亞,義大利,台灣,德國,英國等。

圖1. 2018年1月1日到4月17日Adwind的檢測量

Adwind, XTRAT和Loki

利用的RTF文檔(TROJ_CVE201711882.UHAOBGG)是通過Adwind, XTRAT,和Loki的一個後門集來完成。

圖2.含有Adwind, XTRAT和Loki的文檔

當利用的文檔執行時,會從被黑的網站(hxxp://steamer10theatre[.]org/wp-admin/js/ehe[.]exe)下載Loki。Loki是一種木馬釋放器,會釋放Adwind和XTRAT。

圖3. 傳播Adwind, XTRAT和Loki的垃圾郵件活動的感染鏈

釋放的文件是有多種後門,anti-VM, anti-AV和高配置性的有效的RAT。Adwind和XTRAT會連接到相同的C2伺服器:junpio70[.]hopto[.]org。

Adwind從2013年開始就開始活動了,可運行在所有主流的操作系統中,包括Windows, Linux, MacOSX, Android等,含有的後門功能有:

·信息竊取

·文件和註冊表管理

·遠程桌面

·遠程shell

·進程管理

·文件上傳,下載和執行

XTRAT和Adwind有一些相似的功能,比如信息竊取,文件和註冊表管理,遠程桌面等。除了這些以外,還有如下功能:

·桌面截屏

·通過webcam和麥克風錄音

·上傳和下載文件

·註冊表操作(讀,寫和操作)

·進程操作(執行和終止)

·服務操作(開啟,創建,修改和停止)

·執行遠程shell,控制受害者系統

與Adwind類似,會使用含有C2信息的加密配置文件。文件中的信息含有釋放的二進位後門文件名,安裝釋放的後門文件的目錄,注入進程的名,要使用的自動啟動註冊表入口,惡意軟體ID,惡意軟體群組名,惡意軟體版本,惡意軟體mutex,和發送竊取的keystroke數據到伺服器的FTP信息(伺服器,用戶名,密碼等)。

Adwind會從另一個被黑的網站(hxxp://lauramoretongriffiths[.]com/wp-content/uploads/2013/09/ieei[.]exe)下載惡意軟體Loki。到2017年12月,Loki是在黑客論壇售賣的密碼和加密貨幣錢包竊取器。Loki可以從FTP客戶端,web瀏覽器和郵件客戶端來獲取數據。除了這些,Loki就會從IT管理工具PuTTY竊取數據,PuTTY是一個終端模擬器,系統控制台,網路文件傳輸應用。還有一個功能就是惡意軟體載入器,可以記錄keystrokes。

Adwind和DUNIHI

Adwind在另一個惡意軟體集中,但DUNIHI不在。JAR釋放器(JAVA_JRAT.DRP)是通過過垃圾郵件傳播VBS釋放器 (VBS_JRAT.DRP),然後釋放和執行DUNIHI和Adwind。VBS釋放器會檢查受影響的系統中是否有JRE(Java Run Environment),如果沒有JRE環境,就會下載和安裝JRE環境。沒有JRE環境的話,Adwind就不能正常運行。

圖4. 攜帶Adwind和DUNIHI的垃圾郵件

DUNIHI會有下面的後門功能:

·執行文件

·更新自己

·卸載自己

·下載文件

·上傳文件

·枚舉驅動

·枚舉文件和文件夾

·枚舉進程

·執行shell命令

·刪除文件和文件名

·終止進程

·休眠

圖5. DUNIHI的解碼腳本

DUNIHi會連接到pm2bitcoin[.]com:62103,而Adwind/jRAT變種會連接到badnulls[.]hopto[.]org:3011。

總結

對於Adwind這樣跨平台的威脅,我們需要一個多層的方法來確保網關、終端、網路、伺服器和手機設備的安全。IT管理員需要經常性的對網路和系統補丁分發和更新。所有的Adwind變種都是通過email郵件傳播的,所以確保郵件網關的安全就非常重要,郵件網關可以解決使用郵件作為系統和網路入口的攻擊和威脅。社會工程也是垃圾郵件活動的重要工具,全體員工應該有一個安全的意識,避免陷入網路犯罪攻擊的騙局。公司也要經常性的去培訓員工,進行公司政策的審核,建立好的安全習慣。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

黑客如何利用網路注入來劫持你的加密貨幣賬戶?
Lazarus組織攻擊美中部在線賭場時所使用的工具集分析

TAG:嘶吼RoarTalk |