安全動(dòng)態(tài)

DanaBot升級(jí)!勒索軟件豐富武器庫(kù)
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-06-23    瀏覽次數(shù):
 

信息來(lái)源:mottoin

Check PointDE 安全研究人員在最近一次活動(dòng)中發(fā)現(xiàn)了DanaBot木馬的新樣本,其顯示該木馬背后的運(yùn)營(yíng)者現(xiàn)已在其代碼中加入了勒索軟件組件,以及新的字符串加密和通信協(xié)議。

DanaBot木馬

2018年P(guān)roofpoint的研究人員首次報(bào)道了關(guān)于DanaBot的早期版本,當(dāng)時(shí)它被認(rèn)為是一種新穎的銀行木馬,通過(guò)包含惡意URL的電子郵件針對(duì)澳大利亞和加拿大客戶(hù)的網(wǎng)絡(luò)釣魚(yú)發(fā)起攻擊,其包含網(wǎng)絡(luò)注入和竊取器功能。

這些釣魚(yú)郵件使用了“核對(duì)收費(fèi)帳單”的主題,如果用戶(hù)點(diǎn)開(kāi)了Word附件里的網(wǎng)址,那就會(huì)被重定向到其他網(wǎng)站上,比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc。

2018年5月6日DanaBot活動(dòng)的電子郵件樣本

該木馬具有以下功能:


  • 竊取瀏覽器和FTP客戶(hù)端憑據(jù);
  • 收集加密錢(qián)包憑據(jù);
  • 在受感染的計(jì)算機(jī)上運(yùn)行代理;
  • 執(zhí)行Zeus風(fēng)格的網(wǎng)絡(luò)注入;
  • 截取屏幕截圖和錄制視頻;
  • 通過(guò)RDP或VNC提供遠(yuǎn)程控制;
  • 通過(guò)TOR請(qǐng)求更新;
  • 使用WUSA漏洞繞過(guò)UAC;
  • 從C&C服務(wù)器請(qǐng)求更新并執(zhí)行命令。


根據(jù)Check Point的說(shuō)法,自首次亮相以來(lái),DanaBot的活動(dòng)范圍已遍布澳大利亞、新西蘭、美國(guó)和加拿大,最近的DanaBot活動(dòng)已經(jīng)蔓延至歐洲。

針對(duì)不同國(guó)家的活動(dòng)

DanaBot木馬重大升級(jí)

Check Point研究人員周四發(fā)布文章表示,此次更新是DanaBot木馬的重大升級(jí)。然而,研究人員還報(bào)告說(shuō),他們已經(jīng)設(shè)計(jì)出一種可能的方法來(lái)恢復(fù)由新添加的DanaBot勒索軟件組件加密的文件。


“近一年來(lái),DanaBot一直在擴(kuò)展其功能并演變成更復(fù)雜的威脅,”Check Point研究人員Yaroslav Harakhavik和Aliaksandr Chailytko在對(duì)該木馬最新組件的描述中寫(xiě)道,“我們認(rèn)為背后的運(yùn)營(yíng)者還將繼續(xù)更多升級(jí)?!?


Check Point在今年5月發(fā)現(xiàn)DanaBot木馬中添加了勒索軟件組件。樣本表明運(yùn)營(yíng)商已經(jīng)增添了NonRansomware的某個(gè)變種。根據(jù)Check Point的說(shuō)法,NonRansomware勒索軟件會(huì)掃描本地驅(qū)動(dòng)器上的文件并加密除Windows目錄之外的所有文件。被加密文件的擴(kuò)展名為.non,而勒索通知(HowToBackFiles.txt)被放置在每個(gè)包含加密文件的目錄中(AES128)。


DanaBot現(xiàn)在正在部署包含以Delphi編程語(yǔ)言編寫(xiě)的勒索軟件的可執(zhí)行文件。其他功能包括竊取瀏覽器憑據(jù)、運(yùn)行本地代理以操縱Web流量,以及在目標(biāo)系統(tǒng)上啟動(dòng)遠(yuǎn)程桌面控制。

該木馬最初的感染手段仍然是網(wǎng)絡(luò)犯罪分子常用的網(wǎng)絡(luò)釣魚(yú)攻擊。攻擊者發(fā)送信息誘使收件人下載VBS腳本的附件,該腳本用作DanaBot的部署器。今年1月,DanaBot下載器改變了它的通信協(xié)議,用AES256加密進(jìn)行混淆。ESET詳細(xì)介紹了新的通信協(xié)議。AES256代表高級(jí)加密標(biāo)準(zhǔn),在此環(huán)境下允許運(yùn)營(yíng)者隱藏其客戶(hù)端與攻擊者操作的C2服務(wù)器之間的通信。

已有加密恢復(fù)工具

Check Point能夠設(shè)計(jì)一種方法來(lái)恢復(fù)被加密的文件,具體方法是使用已知的受害者ID,使用密碼暴力強(qiáng)制調(diào)用所有加密文件的DecodeFile函數(shù)。用于文件解密的工具可以在其發(fā)布的DanaBot報(bào)告中找到。

下載鏈接:

https://research.checkpoint.com/wp-content/uploads/2019/06/NonDecryptor.zip

Check Point最后指出,勒索軟件仍然是網(wǎng)絡(luò)犯罪分子的穩(wěn)定收入來(lái)源。

 
 

上一篇:SSH加入抵御邊信道攻擊的功能

下一篇:2019年06月23日 聚銘安全速遞