「蛛」聯璧合?LUNAR SPIDER活動中發現WIZARD SPIDER的TrickBot定製模塊
2019年2月7日,CrowdStrike Intelligence發現了一個對WIZARD SPIDER惡意組織的TrickBot惡意軟體進行分發的新活動,此次活動來自LUNAR SPIDER惡意組織,其特殊之處在於,這是迄今為止首次在LUNAR SPIDER的活動中發現此類TrickBot模塊的變體。
WIZARD SPIDER是TrickBot銀行惡意軟體的俄羅斯運營商,迄今為止一直處於不斷發展的階段,GRIM SPIDER疑似為WIZARD SPIDER威脅組織的所屬小組。而LUNAR SPIDER惡意組織則是東歐商品銀行惡意軟體的開發和運營商,其名下的惡意軟體BokBot(又名IcedID)於2017年4月首次出現。BokBot惡意軟體通過使用webinjects和惡意軟體分發功能,讓LUNAR SPIDER在憑證盜竊和電信欺詐上大展拳腳。
2017年7月,CrowdStrike Intelligence首次確認了涉及BokBot和TrickBot的活動。在這些活動中,受BokBot感染的機器發出了下載和執行TrickBot有效載荷的命令。自那時起,BokBot和TrickBot之間的關係便一直斷斷續續,而最近的這次活動可能標誌著兩者關係進入了一個更為「親密」的階段。
TrickBot的分發
完整的TrickBot配置文件,包括命令和控制(C2)伺服器,如下所示。
1000351
sin2
185.246.64[.]237:443
68.119.85[.]138:449
65.184.200[.]184:449
185.62.188[.]30:443
96.36.253[.]146:449
92.38.135[.]33:443
24.247.181[.]155:449
31.131.22[.]212:443
208.79.106[.]155:449
192.227.204[.]224:443
124.29.213[.]74:449
46.100.14[.]215:449
190.109.178[.]222:449
103.47.168[.]172:449
208.79.110[.]201:449
204.14.154[.]126:449
103.47.168[.]72:449
103.47.168[.]91:449
46.21.249[.]220:443
107.146.147[.]235:449
185.62.188[.]30:443
68.111.123[.]100:449
103.47.169[.]27:449
24.247.182[.]240:449
36.91.74[.]138:449
125.209.82[.]158:449
76.107.90[.]235:449
47.224.98[.]123:449
185.222.202[.]79:443
24.247.182[.]253:449
216.17.92[.]138:449
199.21.106[.]189:449
208.79.106[.]213:449
24.247.182[.]253:449
136.25.2[.]43:449
181.129.93[.]226:449
170.79.176[.]242:449
修改後的TrickBot模塊
此次活動遵循了先前的模式,利用BokBot協助傳播TrickBot。不過,最有趣的部分是定製載入器是嵌入式base64編碼的可移植可執行(PE)文件,如圖1所示。
圖1. Base64編碼的PE文件
嵌入的PE文件由定製載入器提取,然後解碼並執行。分析表明,解碼後的PE文件實際上是TrickBot橫向移動模塊shareDll的修改版本。通常,TrickBot模塊以動態鏈接庫(DLL)的形式下載,並提供一組名為Start、Control和Release的導出標準集。然後此DLL將被注入到一個TrickBot模塊化框架內的子svcho .exe進程中。但是,在沒有此框架的情況下,BokBot分發的shareDll模塊是一個PE文件。
此外,標準的TrickBot模塊中的字元串不以任何方式進行混淆或保護。但是,由BokBot分發的模塊中的字元串,都用256位AES、派生密鑰和初始化向量(IV)進行加密,以及使用自定義字母表terKSDozBw1l24IyCL6AHh / 5WRiGnj3xJQ8YkEbcgOZVNPamMsuUTpd0q9vFfX7進行Base64編碼。字元串以與主TrickBot載入器完全相同的方式存儲在加密的字元串表(如圖2所示)中,並在需要時進行解密。
圖2.加密字元串表
下面的表1概述了shareDll模塊的兩個變體之間的關鍵區別。
表1.比較兩種ShareDLL變體之間的主要差異
在這兩種情況下,shareDll模塊的主要功能是通過在受害者網路內橫向移動以到達當前登錄用戶可訪問的機器。在BokBot分散式實例中,一旦找到了可訪問的機器,修改後的spreader模塊將嘗試下載位於http://185.68.93[.]30/sin.png或http://185.68.93[.]30/win.png中的TrickBot載入器,並在可訪問的網路計算機上安裝TrickBot。
BokBot在本地機器上安裝TrickBot並在網路中橫向移動的整個過程如圖3所示。
圖3.使用ShareDll安裝TrickBot和橫向移動的BokBot
該模塊被重新命名
從2019年2月8日開始,CrowdStrike Intelligence觀察到了此種重新命名的TrickBot模塊被傳遞給組標為sin2和sin4的受害者。LUNAR SPIDER的活動與這些組標密切相關。重命名的模塊及其各自的SHA256哈希值如表2所示,包含字元串sin,tin和win。
表2.重命名的模塊和關聯的SHA256哈希值
與由BokBot分發的TrickBot模塊——shareDll中的變化的不同之處在於,模塊sharesinDll,tabtinDll和wormwinDll分別在功能上等同於TrickBot部署的模塊shareDll,tabDll和wormDll,並保留TrickBot模塊的典型特徵。更明確地說,模塊是DLL,不包含加密字元串,並且具有Start,Control和Release的標準TrickBot導出。
結論
目前還不清楚模塊重命名的目的是什麼,但它可能是一種方法,能夠跟蹤前面提到的組標其相關模塊的活動。此外,CrowdStrike Intelligence正在探索一種可能性,即運營組標前綴為sin的TrickBot的子公司與運營ID為C610DF9A的BokBot子公司之間的聯繫。值得注意的是,其他項目ID的BokBot在幫助分發TrickBot上已經有一段時間了。
關於這一最新進展的另一個關鍵點是銀行惡意軟體家族Dyre(又名Dyreza)和Neverquest(又名Vawtrak)的開發運營商之間存在的歷史關係。這種關係很關鍵,因為:
·WIZARD SPIDER中有成員曾開發和運營過Dyre。
·LUNAR SPIDER中有成員曾開發和運營過Neverquest。
儘管曾在威脅行動中屢次取得成功,Dyre和Neverquest卻分別於2015年11月和2017年5月突然停止運營(圖4)。在Neverquest停止運營時,LUNAR SPIDER卻將BokBot引入了市場。這表明,這種變更,可能是早已計劃好的。
與之相反,Dyre在俄羅斯採取強制措施後停止了行動,其中一家名為25th Floor的莫斯科電影和製作公司的辦公室於2015年11月遭到搜查。雖然俄羅斯執法部門沒有公布任何細節,但據推測,此辦公室涉及到Dyre的運作。從Dyre停止運營,到TrickBot發布之前,有一年的時間間隔,TrickBot與Dyre也有許多類似的地方,但TrickBot的發展之路卻比Dyre要順暢許多。
圖4.惡意軟體操作日期的時間表
雖然自2017年以來,BokBot一直在幫助傳播TrickBot,但之前沒有觀察到有為某項活動特意開發的定製TrickBot模塊的舉動。這一重大進展表明了LUNAR SPIDER和WIZARD SPIDER成員之間的密切關係。CrowdStrike Intelligence預計Dyre和Neverquest運營期間建立的歷史關係已得到重振和鞏固,而WIZARD SPIDER和LUNAR SPIDER已然建立了成功的惡意軟體操作體系。
TAG:嘶吼RoarTalk |