银行木马利用vmvare进行传播-k8凯发棋牌

背景介绍

银行木马与每个人的日常生活息息相关，可能会对每个人造成直接的经济损失。思科的研究团队talos近日发现一起针对对南美巴西的银行木马活动。该木马活动的对象主要是南美的银行，通过窃取用户的证书来非法获利。除了针对巴西用户外，还尝试用重定向等方法来感染用户的计算机。令人意外的是，该木马使用了多重反逆向分析技术，而且最终的payload是用delphi编写的，而delphi在银行木马中并不常见。

感染传播infection vector

垃圾邮件

与大多数银行木马活动类似，该木马首先利用恶意垃圾邮件进行传播。攻击者使用的邮件是用葡萄牙语写的，看起来更加真实，收到恶意邮件的人更容易打开恶意附件。

该邮件含有一个名为boleto_2248_.html的附件，boleto是巴西使用的一种发票。这个html文件含有一个简单的重定向：

重定向

html附件中的url会重定向到goo.gl；然后goo.gl再重定向到 http://thirdculture.tv:80/wp/wp-content/themes/zerif-lite/97463986909837214092129.rar；最后，重定向的链接会指向一个名为boleto_09848378974093798043.jar的jar文件。如果用户双击该jar文件，java就会执行恶意代码并开始安装银行木马。

java执行

java代码执行的第一步是设定恶意软件运行的工作环境，从 http://104.236.211.243/1409/pz.zip 下载需要的其他文件。恶意软件工作在c:\users\public\administrator\ directory目录下。然后，java代码会重命名下载的二进制文件，执行之前重命名的vm.png。

恶意软件加载

首先执行的二进制文件是vm.png，这是经过vmvare签名的合法的二进制文件。

依赖的二进制文件之一是vmwarebase.dll：

python 2.7.12 (default, nov 19 2016, 06:48:10)
[gcc 5.4.0 20160609] on linux2
type "help", "k8凯发棋牌 copyright", "credits" or "license" for more information.
>>> import pefile
>>> pe = pefile.pe("vm.png")
>>> for entry in pe.directory_entry_import:
... print entry.dll

...

msvcr90.dll
advapi32.dll
vmwarebase.dll
kernel32.dll
vmwarebase.dll是恶意的二进制代码而不是合法文件，其他攻击者使用的技术有plugx。plugx背后的理念是：一些安全产品的可信链是这样的，如果一个二进制文件是可信的（本文中的vm.png），那么它所加载的库默认是可信的。这种加载技术可以绕过一些安全检查。

vmwarebase.dll 代码的作用是注入和执行 explorer.exe或者 notepad.exe中的prs.png代码。注入是通过远程进程的内存分配和加载gbs.png库的loadlibrary()来执行的。api的使用是通过aes加密来混淆的。

解密结果为
m5ba 5joilth7mff7neimumhl2s= 是loadlibrarya 
qif3gn1jeew8xugbtz0b5i5nkpy=是kernel32.dll。
银行木马

该木马的主要模块含有一系列的特征。比如，会尝试终止如taskmgr.exe，msconfig.exe， regedit.exe ，ccleaner.exe ， ccleaner64.exe这类程序。该模块会用hkcu\software\microsoft\windows\currentversion\run\vmware base这样看似合法的名字进行注册表登记。

有模块可以获取用户当前窗口的名字，目的是确认用户是否有下面列表中名字的窗口。

navegador exclusivosicoobnetaplicativo itainternet banking bnbbanestes internet bankingbanrisulbb.com.brbancobrasil.combanco do brasilautoatendimento pessoa física - banco do brasilinternetbankingcaixacaixa - a vida pede mais que um bancosicredibanco bradesco s/ainternet banking30 horasbanestes internet bankingbanrisul
这个列表包含了位于巴西的所有目标金融机构，木马注入可以允许他们与银行网站进行交互。主模块的另一个任务是用rundll32.exe执行最后的二进制文件gps.png。

该库使用themida进行封装，导致很难进行解封。

下面的debug字符串是我们在样本中发现的，这些字符串是葡萄牙语的：

<|dispida|>iniciou!
<|principal|>
<|dispida|>abriu_ie
<|desktop|>
<|dispida|>startou!
<|enviado|>
当受感染的主机执行特定操作的时候，这些字符串就会被发送给c2服务器。c2的配置在i.dk纯文本文件中，该文件使用aes256加密。包含有日期，ip和其他配置项目，如下：

07082017
191.252.65.139
6532
结论

银行木马也是安全威胁的一部分，而且在不断发展。经济回报是攻击者的主要动因，也是恶意软件持续发展的原因之一，themida这样的商业封装软件使对恶意软件的分析变得越来越难，而且这种趋势还在不断发展。

iocs

927d914f46715a9ed29810ed73f9464e4dadfe822ee09d945a04623fa3f4bc10 html attachment
5730b4e0dd520caba11f9224de8cfd1a8c52e0cc2ee98b2dac79e40088fe681c rar archive
b76344ba438520a19fff51a1217e3c6898858f4d07cfe89f7b1fe35e30a6ece9 boleto_09848378974093798043.jar
0ce1eac877cdd87fea25050b0780e354fe3b7d6ca96c505b2cd36ca319dc6cab gbs.png
6d8c7760ac76af40b7f9cc4af31da8931cef0d9b4ad02aba0816fa2c24f76f10 i.dk
56664ec3cbb228e8fa21ec44224d68902d1fbe20687fd88922816464ea5d4cdf prs.png
641a58b667248fc1aec80a0d0e9a515ba43e6ca9a8bdd162edd66e58703f8f98 pz.zip
79a68c59004e3444dfd64794c68528187e3415b3da58f953b8cc7967475884c2 vm.png
969a5dcf8f42574e5b0c0adda0ff28ce310e0b72d94a92b70f23d06ca5b438be vmwarebase.dll

http://priestsforscotland.org.uk

http://thirdculture.tv:

http://104.236.211.243

191.252.65.139