buhtrap后门和讹诈软件经由过程告白平台举行分发 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

buhtrap后门和讹诈软件经由过程告白平台举行分发

申博_新闻事件 申博 113次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

曩昔几个月,研究人员发明有黑客构造运用Buhtrap和RTM两个有名后门作为讹诈软件和加密泉币盗取器来进击位于俄罗斯的企业。进击运动主若是经由过程Yandex.Direct宣布歹意告白来重定向潜伏目的到供应伪装为文档模板的歹意下载的网站。

注:Yandex是俄罗斯的最大的互联网搜刮引擎,Yandex.Direct是其在线告白网络。

研究人员发明Buhtrap后门的源码已经在网络上泄漏了,而RTM的代码还没有被泄漏。本文形貌进击者怎样滥用Yandex.Direct和GitHub来分发歹意软件。

流传机制和受害者

将分歧payload联络在一同的进击者流传位于两个分歧GitHub堆栈的歹意文件的体式格局。一样平常只要一个GitHub堆栈的歹意文件是能够下载的,然则详细是哪个会频仍转变。经由过程GitHub堆栈的修正汗青,能够发明歹意软件能够在恣意给定时候内流传。受害者被诱惑来下载歹意文件的一种体式格局是经由过程网站blanki-shabloni24[.]ru,如图1所示。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图1 –  blanki-shabloni24[.]ru的加载页

网站的设想和一切的歹意文件名都异常消灭:都是表单、模板和条约。捏造的软件名翻译过去是“表格、模板和条约样本集2018”。由于Buhtrap和RTM木马在曩昔就进击过审计机构,由于进击接纳如许的战略也就无独有偶了。但受害者是怎样被重定向到该网站呢?

沾染运动

个中一些受害者是经由过程歹意告白运动来到该站点的,下面是一个到歹意站点的重定向URL示例:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

从该URL能够看出是一个宣布在bb.f2[.]kz上的banner,bb.f2[.]kz是一个正当的审计论坛。须要申明的是这些banner出如今很多分歧的网站上,进击运动id为blanki_rsya,并且大多数都与审计或正当的资助效劳相干。从该URL中还能够看出用户搜刮了“скачать бланк счета” 或“download invoice template(下载发票模板)”,这也印证了进击目的。Banner宣布的网站和相干的搜刮词见表1。

buhtrap后门和讹诈软件经由过程告白平台举行分发

表1– banner展现的域名和运用的搜刮词

总的来说,进击者经由过程Yandex.Direct展现能够会被管帐访问来搜刮特定关键词的告白分发运动。

Payload剖析

流传时候线

歹意软件运动是从2018年10月最先的,一向延续到如今。由于全部堆栈都是GitHub上,由于能够看到歹意软件家属分发的正确时候线,如图2所示。研究人员在这段时候内涵GitHub上共发明有6款分歧的歹意软件家属。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图2 –  歹意软件流传的时候线

代码署名证书

进击运动中还运用了多款分歧的代码署名证书来为歹意软件举行数字署名。一些证书被用于为不至一款歹意软件署名。进击者并没有对上传到git堆栈的二进制文件举行体系地署名。2019年2月尾,进击者也运用了属于Google的证书来举行无效的署名,由于进击者并没有私钥。

一切进击运动中运用的证书和署名的歹意软件如表2所示。

buhtrap后门和讹诈软件经由过程告白平台举行分发

表2 证书和署名的歹意软件列表

研究人员也运用这些代码署名证书来检察是不是能够将其与其他歹意软件家属联系关系起来。但对大多数证书,研究人员并未发明不经由过程GitHub库举行流传的歹意软件。但研究人员发明TOV “MARIYA”证书曾被用于署名属于Wauchos僵尸网络的告白歹意软件和加密泉币挖矿机。研究人员并没有发明这些歹意软件变种与本进击运动之前的联系关系,研究人员预测这些证书多是从暗盘买的。

Win32/Filecoder.Buhtrap

研究人员发明一个之前从未发明过的组件Win32/Filecoder.Buhtrap,这是一个Delphi歹意软件,重要在2月和3月份流传。该组件有讹诈软件的行动,会找到和加密当地驱动和网络共享上的文件。加密受害者文件并不须要网络衔接,由于它不须要衔接效劳器来发送加密密钥。组件会将token加到讹诈信息的背面,并要求受害者经由过程邮件或Bitmessage与进击者联络。

为了尽量多地加密重要的组件,Filecoder.Buhtrap会开启一个线程来杀掉能够处置惩罚这些重要文件和数据的软件。目的历程主若是数据库治理体系。Filecoder.Buhtrap还会移除日记文件和备份文件,运用受害者没有离线备份文件而没法规复文件。为此,须要实行图3中的batch剧本。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图3 – 移除备份和日记文件的剧本

Filecoder.Buhtrap还会运用正当的在线效劳IP Logger,该效劳是用来网络谁访问了网站的信息的。这是用来纪录讹诈软件的受害者的。图4中的命令行就是这个作用。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图4 – 查询iplogger.org

加密的文件是依据实行婚配这3个列表失利来挑选的:

起首,不加密以下扩大的文件名,.com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys和.bat;

第二,含有图5中目次字符串的完整途径下的一切文件都消除在外;

第三,特定文件名是消除在外的,个中就包罗讹诈新的文件名。图6是消除的特定文件名列表。这些扩大主若是确保加密的受害者机械启动的,但很少运用。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图5 – 消除加密的目次

buhtrap后门和讹诈软件经由过程告白平台举行分发图6 –  消除加密的文件

文件加密设计

歹意软件启动后,会天生一个512位的RSA密钥对。私钥组件d和模数n随后会运用硬编码的2048位的公钥加密,然后举行zlib紧缩,然后举行base64编码。卖力这一功用的代码如图7所示:

buhtrap后门和讹诈软件经由过程告白平台举行分发

图7 –512位RSA密钥对天生途径的反编译效果

图8是和token一同加到讹诈信的天生的私钥的明文版本示例。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图8 – 天生的私钥示例

进击者的公钥如图9所示:

buhtrap后门和讹诈软件经由过程告白平台举行分发

图9 – 硬编码的RSA公钥

文件运用AES-128-CBC和256位密钥举行加密。对每一个要加密的文件,都邑天生新的初始向量(iv)。密钥信息会加到加密的文件的末了。

下面看一下加密的文件的花样:

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

Webshells Webshell用于与受感染服务器交互。泄露数据中包含了三个webshell,分别为HyperShell、HighShell和Minion,Minion很可能是HighShell的一个变体,在代码、文件名和功能上都有重叠。HyperShell和HighShell则是TwoFace的变体,其中HyperShell与TwoFace的加载器相关,HighShell与TwoFace的payload相关,这点我们在2017年7月也有记载。除了OilRig使用的Webshell外,泄露数据中还有一个Webshell部署列表。如图8所示,列出了超过100个Webshell的链接,覆盖了四大洲26个国家的87个组织。 图8.受影响组织的Webshell的地理位置 Hypershell HyperShell(SHA256:e483eee77fcc5ef11d5bf33a4179312753b62ec9a247dd14528cc797e7632d99)与的TwoFace加载器的3DES变体(我们也叫它TwoFace++)有关,我们曾在2017年7月报道过。 我们曾用强制技术来提取TwoFace加载器嵌入式payload,但同样的方法在TwoFace ++加载器上行不通。 TwoFace加载器样本需要密钥来解密嵌入的webshell,密钥是通过简单的算术运算符(大多是“+”或“ – ”)和webshell中的盐字符串进行修改的,所以使用简单的算术运算符就能解密,逆运算来强制提取密钥,进而提取嵌入式webshell。 而TwoFace ++加载器则使用3DES

加密的文件都有如许的首部:

buhtrap后门和讹诈软件经由过程告白平台举行分发

来自由原始文件加入了VEGA的数据都回在前0x5000字节加密。一切解密文件相干的信息都邑加到含有以下架构的文件中:

buhtrap后门和讹诈软件经由过程告白平台举行分发

· File size marker含有一个注解文件巨细大于0x5000字节的flag

· AES key blob = ZlibCompress(RSAEncrypt(AES Key + IV, generated RSA key pair’s public key))

· RSA key blob = ZlibCompress(RSAEncrypt(Generated RSA private key, Hardcoded RSA public key))

Win32/ClipBanker

Win32/ClipBanker是在2018年10月尾到12月初流传的组件。其作用是监控剪贴板的内容,查找加密泉币地点。若是找到了目的加密地点,就用属于歹意软件运营者的地点来替代。研究人员发明的样本既没有打包也没有殽杂。独一运用的隐蔽其行动的机制就是字符串加密。进击者的加密泉币地点运用RC4加密。进击的加密泉币范例包罗Bitcoin, Bitcoin cash, Dogecoin, Ethereum和Ripple。

研究人员发明发送到进击者比特币地点的BTC很少,这申明该进击运动并非很胜利。并且也没法肯定唯一的生意业务与该歹意软件运动相干联。

Win32/RTM

Win32/RTM是2019年3月初最先流传的歹意组件。RTM是一个Delphi言语编写的银行木马,重要进击长途银行体系。早在2017年,ESET研究人员就宣布了对该歹意软件举行剖析的白皮书。2019年1月,Palo Alto Networks研究人员也对该歹意软件举行了剖析。

Buhtrap下载器

在一个很短的时候内,来自GitHub的package是一个与之前的Buhtrap东西无关的下载器。该下载器用https://94.100.18[.]67/RSS.php?<some_id>来猎取下一个阶段并直接在内存中加载。研究人员在第二阶段代码中共识别出2个分歧的行动:

· 第一个是RSS.php URL直接效劳于Buhtrap后门,该后门与之前泄漏的源码异常相似。并且研究人员也发明了很多运用Buhtrap后门的进击运动,并且应当都是来自分歧的运营者。重要的差异在于起首后门是直接在内存中加载的,而不是运用DLL侧加载,第二是改用RC4密钥来加密到C2效劳器的网络流量。

· 第二个是RSS.php URL效劳于另外一个下载器。该下载器完成了好比动态导入表重构如许的殽杂。下载器的最终目的是与位于https://msiofficeupd[.]com/api/F27F84EDA4D13B15/2的C2效劳器联络来发送日记并守候相应。它将相应看做是binary blob,在内存中加载并实行。下载器实行的payload就是前面形貌的Buhtrap后门,但也能够存在其他的payload。

Android/Spy.Banker

研究人员还在GitHub堆栈中发明了一个安卓组件,并且只在2018年11月1日出如今master分支1天。除此之外,没有发明该歹意软件主动分发的迹象。

该安卓组件以APK的情势生存于GitHub中,并且是严峻殽杂的,歹意行动隐蔽在APK中的加密JAR中,运用RC4加密,密钥以下:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

一样的密钥和算法也被用来加密字符串。JAR位于APK_ROOT + image/files文件中。文件的前4个字节含有加密JAR的长度,就在长度域背面。

解密文件后,发明它就是Anubis。该歹意软件的功用包罗:

· 灌音

· 截屏

· 猎取GPS地位

· 纪录键盘

· 加密装备数据并举行讹诈

· 发送垃圾邮件

C2效劳器有:

· sositehuypidarasi[.]com

· ktosdelaetskrintotpidor[.]com

研究人员还发明歹意软件会运用Twitter作为通讯信道来提取另外一个C2效劳器。样本运用的twitter账户为@JohnesTrader,该账户现在已没法运用。

歹意软件另有一个要进击的安卓装备上的运用列表。进击的目的主若是环球的银行运用、电商运用和加密泉币运用。

MSIL/ClipBanker.IH

该运动流传的另外一个组件是2019年3月流传的.net框架的Windows可实行文件。大多数的版本都运用ConfuserEx v1.0.0。与ClipBanker变种相似,该组件也会挟制剪贴板,进击局部加密泉币,并且它会运用IP Logger效劳来盗取比特币的WIF私钥。

防御机制

除运用反调试、反复制和反修正机制外,歹意软件还接纳了平安产品和假造机的检测机制。

为了搜检是不是运转在假造机上,它运用Windows内置的WMI命令行(WMIC)来查询关于BIOS的信息:

wmic bios

然后将命令行的效果举行剖析来寻觅特定的关键词:

VBOX, VirtualBox, XEN, qemu, bochs, VM

为了检测平安产品,歹意软件会运用ManagementObjectSearcher API发送一个Windows Management Instrumentation (WMI)查询到Windows平安中间,如图10所示。Base64解码后,挪用以下:

ManagementObjectSearcher(‘root\\SecurityCenter2’, ‘SELECT * FROM AntivirusProduct’)

buhtrap后门和讹诈软件经由过程告白平台举行分发

图10 – 平安产品检测途径

歹意软件还会搜检CryptoClipWatcher是不是运转,若是运转就停息历程的一切线程来绕过珍爱。

驻留

在研究人员剖析的版本中,歹意软件会将本身复制到%APPDATA%\google\updater.exe,并在Google目次中设置隐蔽的flag。然后修正Windows注册表Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell的值,并加到updater.exe的途径后。因而,每当用户上岸,歹意软件就会实行。

歹意行动

.NET歹意软件会监控剪贴板的内容,寻觅加密泉币地点,若是找到就用歹意软件运营者的地点替代。图11就是基于代码中的enum(罗列)来处的进击者的目的地点。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图11 – 支撑的地点范例的Enum symbol

对每一个地点范例都有相干联的正则表达式。STEAM_URL值是挟制流生意业务供应体系,用于检测剪贴板内容的正则表达式有:

\b(https:\/\/|http:\/\/|)steamcommunity\.com\/tradeoffer\/new\/\?partner=[0-9]+&token=[a-zA-Z0-9]+\b

盗取信道

除替代剪贴板的内容外,.NET歹意软件还会进击Bitcoin WIF私钥、Bitcoin Core钱包和Electrum Bitcoin钱包。歹意软件运用iplogger.org作为盗取信道来猎取WIF私钥。为此,运营者会将私钥数据加入到User-Agent HTTP首部,如图12所示。

buhtrap后门和讹诈软件经由过程告白平台举行分发

图12 – 含有盗取的数据的IP Logger console

在盗取钱包时,进击者并没有运用iplogger.org,能够的缘由就是 IP Logger的web接口的User-Agent域的255字符的限定。因而进击者运用了另外一种方法,另外一个盗取效劳器生存在环境变量DiscordWebHook中。令研究人员迷惑的是该环境变量在代码中从未设置过。这也申明该歹意软件能够尚在开辟中。另有一个线索就是歹意软件含有两个iplogger.org URL。个中一个到URL的要求中, Referer域的值加上了DEV /,在另外一个样本中运用的是DevFeedbackUrl。基于环境变量的名字,研究人员以为进击者设计运用正当效劳Discord,滥用其webhook体系来盗取加密泉币钱包。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明buhtrap后门和讹诈软件经由过程告白平台举行分发
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址