剖析最新的Ursnif DHL行動

一、簡介

最近幾周，臭名昭著的Ursnif惡意軟體的一個新變種通過malspam行動攻擊義大利用戶。實際上，Yoroi-Cybaze ZLAB隔離了幾封具有以下內容的惡意電子郵件：

·Attachment: 「GR930495-30495.zip」

附件的內容是.js文件，載入時通過從Internet下載其他組件來啟動感染。

二、Dropper

最初的dropper是一個混淆的javascript。一旦運行，它會產生大量嘈雜的互聯網流量，目的是加強對真實惡意基礎設施的檢測;從下圖中我們可以看到，該腳本包含一系列隨機查找的URL，但未成功嘗試連接，從而在分析環境中產生大量噪音。

圖1：惡意軟體試圖連接以產生雜訊的硬編碼URL

圖2：生成的互聯網流量噪音

但是，javascript執行的真正惡意操作是在「％APPDATA％ Roaming 325623802.bat」路徑下創建批處理文件。該文件是一個包含以下代碼的簡單腳本文件：

圖3：提取的批處理文件

腳本執行時彈出一個無害的「聯邦快遞」手冊，使用pdf格式來誘騙受害者，同時從一個受感染的中文網站上下載託管的CAB檔案並從中提取一個PE32可執行文件。

圖4：顯示給用戶的pdf

三、第二階段

感染鏈的第二階段是dropper下載到「%APPDATA%Roaming」位置的ppc.cab文件：它實際上是一個嵌入名為puk.exe可執行文件的Microsoft Cabinet存檔。puk.exe文件及時生成自己進程的新副本以使調試更加困難，然後啟動多個Internet Explorer進程實例以隱藏其在合法進程內的網路活動。

圖5：原始puk.exe生成的進程

iexplore.exe進程生成的網路流量指向遠程目標149.129.129.1（ALICLOUD-IN）和47.74.131.146（AL-3），它們是攻擊者的惡意基礎結構的一部分。

圖6：C2網路流量

C2通信中識別的旗標與Gozi/Ursnif/IFSB/Dreambot惡意軟體變體一致。此外，樣本採用的特定/wpapi/基本網址與當年跟蹤的幾個malspam行動相匹配（rif EW.N070618，N030618，N010318）。

圖7：惡意軟體的旗標請求

四、持久性

惡意軟體的第三階段旨在確保其長期持續存在於受感染系統中。它設置一個包含二進位數據塊的特定註冊表項：「HKEY_CURRENT_USERSoftwareAppDataLowSoftwareMicrosoft6C174C70-DB2B-7E6F-C560-3F92C994E3E6」

圖9：惡意軟體寫入的註冊表項

在上面顯示的註冊表項中有一個名為「ddraxpps」的條目：此特殊名稱也被用於1月份分析的其他Ursnif樣本的持久性機制。此外，惡意軟體配置一個名為「comuroxy」的鍵，其中包含一個wmic 「process call create」命令，用於調用「ddraxpps」條目中的powershell代碼：

:C:Windowssystem32wbemwmic.exe /output:clipboard process call create "powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty "HKCU:SoftwareAppDataLowSoftwareMicrosoft6C174C70-DB2B-7E6F-C560-3F92C994E3E6").ddraxpps))".

「ddraxpps」註冊表項存儲十六進位字元串可以使用簡單的hex-to-ascii轉換進行解碼，其內容實際上是下面混淆的PowerShell代碼：

圖10：「ddraxpps」鍵的主體

第一行代碼顯示了一組命令，允許執行以十進位格式編碼的某種有效載荷。第二行的數字數組為十進位表示的實際可執行有效載荷。

$sagsfg="qmd";function ndltwntg{$sxpjuhsps=[System.Convert]::FromBase64String($args[0]);[System.Text.Encoding]::ASCII.GetString($sxpjuhsps);};

第三行包含一個base64編碼的PowerShell片段，揭示了已知有效載荷注入技術的用法：「APC注入」或「AtomBombing」，用於感染「iexplore.exe」進程。

圖11：「ddraxpps」鍵第三行的命令

圖11中所示的所有命令都是執行APC注入操作所必需的：在第一個變數「$ jtwhasq」中，導入了必要的庫kernel32.dll，特別是函數GetCurrentProcess和VirtualAllocEx。第二行提供函數GetCurrentThreadId，QueueUserAPC，OpenThread的導入。第三行包含實際注入：前兩行包含所有導入、函數和相關參數的準備，第三行負責執行實際的APC注入。第一步是使用當前進程的VirtualAllocEx函數正確創建虛擬空間，這要歸功於GetCurrentProcess。然後將惡意軟體複製到虛擬空間，最後使用QueueUserAPC函數，注入到iexplore.exe進程的本地線程。

五、總結

最後，整個感染鏈可歸納為四個階段：生成網路雜訊以隱藏攻擊者的基礎設施，下載可執行的有效載荷，通過註冊表項實現持久性以及檢查和下載Ursnif模塊。

圖12.感染鏈

IoC

Dropurl:

·hxxp:// groupschina.]com/tss/ppc.cab

C2:

·149.129.129.1

·47.74.131.146

·176.9.118.142

·grwdesign[.com

·rest.relonter[.at

·web2003.uni[.net

·web2341.uni5[.net

·in.ledalco[.at

·int.nokoguard[.at

·io.ledalco[.at

·rest.relonter[.at

·apt.melotor[.at

·torafy[.cn

Hash:

·81798ea125359ca4e618a5619cd856f95f3fb809f5f3022a42563bd3b627f2ca puk.exe

Yara rule

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！