来自 资讯 2022-05-11 16:00 的文章

抗ddos_国盾云孵化_怎么防

抗ddos_国盾云孵化_怎么防

主题为"FW:Bank docs"的电子邮件会导致信息盗窃

在这篇博文中,我们将深入探讨垃圾邮件活动,与其他可能的情况不同,受害者通过打开并运行电子邮件附件而受到感染。今年年初,我们在博客上发布了一条不同的垃圾邮件——一封来自广受欢迎的WhatsApp messenger的假电子邮件,讲述了一场垃圾邮件运动。这一次,我们将看一看垃圾邮件,它试图说服受害者它来自他的银行。该恶意电子邮件包含与以下内容类似的内容:

主题:FW:银行单据

我们已从贵行收到此单据,请查看附件。

如其他来源(1,2,3)所述,情况总是相似的。受害者会收到一封带有附件的电子邮件。在电子邮件主题中,有银行文件、对账单、重要文件、UPS配送信息、发票、收据、在线提交等信息。

电子邮件正文建议受害者下载并打开附件。附件通常是包含恶意文件的zip存档。该文件通常非常小(约20KB),有一个PDF图标和扩展名.exe或.scr,这两个文件都是Windows可执行文件。在具有默认设置的Windows计算机上,不会显示已知程序打开的文件扩展名,因此可执行扩展名通常会隐藏。

附带的文件是一个下载程序,尝试下载另一个有效负载。首先,它将自己移动到%TEMP%目录并从那里运行。在内存中除臭之后,我们看到一些有趣的字符串。它告诉您应该连接哪些域,以及应该下载和执行哪些文件。我们的示例尝试下载1203a.ton文件和13003UKp.ton文件。

下载后,这两个文件都是二进制数据块,从ZZP签名开始。

然后通过简单的xor操作逐个解密此blob。解密密钥在下载文件中硬编码。在我们的例子中,它是0xAC0CC81C。解密后,我们得到一个用LZ方法打包的可执行文件。下图中的缓冲区解压是通过RtlDecompressBuffer功能实现的。

如上所述,下载程序同时下载多个不同的有效载荷。第一个有效载荷是Zbot/Gameover,Sophos最近对其进行了研究。另一个是Tuscas间谍软件。

让我们更深入地研究第二个有效载荷。在删除加密程序后,我们看到6种不同的资源,其中包含aplib。请注意签名M8Z,它是用aplib打包的MZ头的开头。

执行dropper时,它会解压缩其中几个文件并将它们放入%WINDOWS%目录。这些文件是client.dll、client64.dll、64位注入器、zlib1.dll、aplib.dll、aplib64.dll。Client.dll和client64.dll是最有趣的,因为它们被注入到有趣的进程中——explorer.exe、iexplore.exe、chrome.exe、firefox.exe。Client.dll被注入32位进程,client64.dll被注入64位进程。

下图显示了一台被感染的机器,Client.dll被注入Internet Explorer。

除了删除dll文件外,滴管还执行多个系统命令,ddos防御服务器,将其输出保存到文件中,将它们打包到文件柜存档中,并将此存档发送给C&C。

这些命令是:

1)cmd/C \"systeminfo.exe>%s\"返回各种系统信息,包括主机名、操作系统名称和版本、本地设置、已安装的修补程序、网卡和网络信息

2)cmd/C\"tasklist.exe/SVC>>%s\"返回正在运行的进程列表

3)cmd/C \"driverquery.exe>>%s\"返回内核驱动程序列表

4)cmd/C\'reg.exe query\'HKLM\\SOFTWARE\\Microsoft\Windows\CurrentVersion\Uninstall"/s枚举卸载注册表项

5)cmd/C \"echo-->%s\"

6)cmd/C \"makecab%s%s\"中的所有项和值将所有获取的信息压缩到CAB存档中

滴管还设置被丢弃的client.dll模块的持久性。持久性是通过向运行注册表项添加条目来实现的。

Client.dll是主模块。它钩住了几个API函数——CreateProcessA、CreateProcessW、CreateProcessAsUserA和CreateProcessAsUserW。这些钩子监视新启动的进程,如果其中任何进程是explorer.exe、iexplore.exe、chrome.exe或firefox.exe,它会通过设置事件来通知它。对于Internet Explorer,它将InternetConnectA、InternetConnectW、HttpSendRequestA、HttpSendRequestW、HttpSendRequestExA、HttpSendRequestExW、InternetReadFile、InternetReadFileExA、InternetReadFileExW和InternetQueryDataAvailable挂钩。最有趣的钩子方法是HttpSendRequestA/W的钩子,它过滤掉所有互联网流量,只保留POST请求。这些请求用于从网站表单发送数据,这些表单通常用于网站上的登录和密码文本字段。挂接HttpSendRequestA/W使client.dll能够在加密之前获取表单数据,如下面的屏幕截图所示。

例如,如果用户试图登录其PayPal帐户,间谍软件会挂接浏览器功能,100m带宽可防御ddos流量,并以未加密的形式接收登录电子邮件和登录密码。Client.dll执行浏览器中人攻击。下面的屏幕截图显示了未加密用户的凭据。

在分析的示例中,Firefox浏览器中还连接了几个功能-PR_Read、PR_Write、PR_Close、PR_Connect。在撰写本文时,这些函数还没有包含任何内容,它们只是调用原始函数。该表单抓取器似乎仍在开发中,尚未实现所有功能。

在Chrome浏览器中,WS2_32的WSASend被钩住,如何判断ddos防御大小,以获得与Internet Explorer中的HttpSendRequest相同的功能。客户端定期通过以下请求呼叫总部。

C&C服务器的IP地址以client.dll二进制文件硬编码。