FortiGuard SE团队在最近的研究报告里称,其在2019年2月曾发现一次针对澳大利亚黄金海岸市政府组织工作人员的攻击。其观察到的针对该组织成员的活动主要为鱼叉式网络钓鱼攻击,携带了模块化银行木马“DanaBot”。攻击始于一封看似无害的电子邮件:
可以看出,这封电子邮件是在2月初通过合法的免费电子邮件服务发送给所有人的,发件人并未注册与垃圾邮件相关的电子邮件地址,更能说明这针对的是特定目标。
电子邮件中的链接(hxxp://users.xxxx.com.au/soniamatas/9302030002_993.zip?33505757)也指向提供文件托管服务的澳大利亚ISP Telco。
据研究人员对该服务器的遥测,DanaBot作者的操作主要集中在澳大利亚。最近的案例中主要集中在“.gov.au”,这与最新的攻击相吻合。
该链接指向了一个包含单个.VBS文件的zip文件。反混淆处理后会在临时文件夹中创建一个指向热门网站的快捷链接,之后将脚本从hxxp://corp.invest.preferredweb.org/dMJbnufMVu.php下载到同一临时文件夹中,并命名为inv.exe.
该域名最近出现了激增活动:
绝大多数访问者来自澳大利亚:
域名本身为近期注册(2月03日),可在下面的屏幕截图中看到。
数据显示,虽然服务器通过美国注册商注册,但最终由俄罗斯的虚拟主机服务所托管。
除发送有针对性的电子邮件外,DanaBot作者还阻止了澳大利亚境外的任何人下载恶意软件:可能是为了防止安全研究人员、执法机构和其他旁观者发现他们的活动。
此外,威胁首先联系固定IP地址以检查有效Internet连接。这是恶意软件针对对其进行分析(即沙箱/隔离网络)的故障安全系统,为的是避免和阻碍进一步分析。如无连接、便不会继续运行威胁。
在启动时,Danabot连接到各种看似为随机选择组织的良性IP地址、以查看它是否在线。
新攻击?
在初步分析期间,早在2月的第一周,威胁本身就是全新的。威胁编译时间在下载时间之前。这极有可能是在美国之前时区编制。
威胁还可以为持久性目的创建服务,以及构建自定义目录和文件以保存收集数据,还可以将恶意软件注入其他进程,如:winlogon.exe,explorer.exe和svchost.exe等。旧系统上的功能包括rootkit功能,包括隐藏新创建的服务以及威胁所使用目录的功能。
使用自定义工具显示隐藏服务会产生以下结果:
如前所述,由于嵌入式rootkit,浏览文件夹不会显示任何内容:
但如果文件夹名称已知,则可手动导航到DanaBot目录:
DanaBot模块化
由于DanaBot可安装不同的模块,如通过VNC的远程桌面、信息窃取、键盘记录、及将恶意软件注入银行网页,是更为先进的银行木马之一。
技术细节
概览
9302030002_993.zip(检测为: VBS / Agent.QQN!tr.dldr)
– 大小:2135字节
– MD5:B827896DCA0E874A976595D027E27D0E
– SHA256:CE96E325F79BA07871489DB205E9ACA9FAC5AB3C15BDCA60E562CBAB65CC6447
9302030002_993.vbs(检测为: VBS / Agent.QQN!tr.dldr)
– 大小:5294字节
– MD5:1E0E503EF61BCF30CED17777FFD263DE
– SHA256:4D542B11FF7B3DFAB52D4C9E64AE209EF9AFBDFCEA1910CA24815EEC54944F21
inv.exe(检测为: W32 / Generic.AC.4399AE !tr)
– 大小:455168字节
– MD5:75FD221DEA39A4AEA27998F4FB071041
– SHA256:1991548C135E4653CD18F969102A3225661AE70102AC7C3D5FF8A69E75FFB644
– 创建%temp%/ inv.dll
inv.dll(检测为: W32 / Danabot.I!tr)
– 大小:286224字节
– MD5:AB2C3D293C442C351A0B04CE9F4DEA3F
– SHA256:F2EA70B5131E88D8B9B354D618E03B35A2B3FFE980CF6B871E1BE3A88625BFE9
MITER ATT&CK-策略与技术
该分析显示了DanaBot功能如何映射到MITRE ATT&CK模型。
ATT&CK TTP摘要
初始访问
鱼叉式网页钓鱼-邮件中提供了一个链接,指向了包含恶意VBS脚本的存档,以继续进行下一个感染阶段。
执行
Regsvr32 – DanaBot文件
Rundll32 – DanaBot文件
脚本 – VBS文件
服务执行 – 自定义启动服务
用户执行 – 网络钓鱼链接,解压缩存档,执行VBS文件
持续
隐藏文件和目录 – DanaBot文件
新服务 – 在启动时执行
特权升级
新服务 – rootkit
躲避防御
隐藏文件和目录-Danabot文件
混淆文件或信息-数据文件、键盘记录文件
进程注入-资源管理器、winlogon、服务、浏览器
Rootkit – 隐藏文件、目录、自定义服务
Rundll32-启动DanaBot dll
脚本-VBS
发现
过程发现-用于注入
渗出
数据加密- SSL+自定义
通过命令和控制通道进行SSL+自定义漏出-SSL端口443
命令与控制
常用端口-TCP端口443
标准应用层协议-HTTPS
妥协指标(IOC)
DanaBot仅联系了下面所列IP地址,通过识别出站记录中的部分或全部地址列表可验证组织是否已被此恶意软件感染。
91.112.46.201:443
52.245.17.2:443
61.165.173.178:443
26.64.30.13:443
38.229.153.189:443
61.184.194.124:443
89.144.25.243:443
93.145.247.149:443
140.155.223.170:443
147.28.140.161:443
171.16.126.45:443
178.209.51.211:443
192.71.249.51:443
226.188.219.5:443
234.53.54.120:443