新聞中心
DanaBot新增垃圾郵件發送功能,進化後已超越傳統網銀木馬
2018.12.21


繼之前跟大家分享銀行木馬DanaBot將攻擊目標轉向歐洲並新增多項特性後,ESET近期的研究結果發現,DanaBot的幕後黑手一直在不斷擴大攻擊範圍,疑似與另一犯罪集團聯手


DanaBot不斷進化,其能力已超越傳統網銀木馬範疇。根據ESET研究結果,狡猾的幕後黑手近期已在嘗試盜取電子郵件信箱帳密和大量寄發垃圾郵件功能,利用現有受害者的網頁電子郵件帳號,進一步大肆散佈惡意程式。


除一系列新增功能外,由ESET發現的其他種種跡象顯示,DanaBot的操控者已與另一款進階木馬GootKit的犯罪份子聯手–對於習慣獨立行事的駭客團隊而言,這一模式極為罕見。


利用受害者郵件信箱群發垃圾郵件

2018年9月DanaBot大肆向歐洲各國擴散期間,ESET在分析被用來攻擊義大利多家網頁電子郵件使用者的頁面注入代碼時,先前未曾報導過的一些功能引起了研究人員的關注。 據ESET分析,在目標網頁郵件信箱服務頁面中注入的Java腳本,可大致劃分為兩種主要功能:


1.DanaBot從現有受害者的電子郵件信箱中盜取大量聯絡人電子郵件位址,並透過在目標網頁郵件信箱的服務頁面上注入惡意腳本來進行,一旦受害者登錄後,便會處理受害者的電子郵件,並將已找到的全部郵件信箱位址集中發送至C&CServer。



圖1 – DanaBot大肆盜獵電郵地址


2. 對於目標網頁電子郵件服務基於Open-Xchange套裝架構的情況–例如義大利知名網頁電子郵件服務網站libero.it等–DanaBot也會注入頁面腳本,並利用受害者的郵件信箱,向已蒐集到的電子郵件地址透過私有群組寄發垃圾郵件。


惡意郵件是以淪陷郵件信箱中收到郵件回覆的形式發出的,使之貌似收件人本人發出的郵件。此外,對於已配置郵件數位簽章的帳戶,發出的郵件均具有有效的數位簽章。


很有意思的是,攻擊者疑似對於含有字串“pec”的郵箱地址特別感興趣,由於此類郵件信箱是義大利“認證電子郵件信箱”位址,從而表明DanaBot作者的重點攻擊目標為,最可能使用此類認證服務的政府機關和企業郵件信箱。


寄出電子郵件均含有從攻擊者伺服器上預先下載的ZIP附件,其中包含一個假冒的PDF檔及一個惡意VBS檔。執行VBS檔後,便會通過PowerShell命令下載後續的惡意程式。



圖2 – 從命令與控制伺服器下載惡意ZIP檔的代碼



圖3 – 新建電郵並添加惡意ZIP附件的代碼



圖4 – 近期針對義大利的網路攻擊中,含有惡意ZIP附件的垃圾郵件示例(來源:VirusTotal)



圖5 – ZIP附件內容示例


撰寫本文時,上述惡意功能仍僅僅以義大利為攻擊目標;受攻擊的電子郵件服務商清單,請詳見本文文末。


DanaBot和GootKit之間的重重聯繫


在分析了DanaBotC&CServer上的惡意VBS檔後,ESET還發現它指向一個GootKit下載模組,後者是主要用於網銀詐騙類攻擊的一款進階隱藏木馬,惡意VBS檔疑似自動生成,而且每次造訪時都有所不同。


這是ESET首次發現DanaBot散佈其他惡意程式的現象,在此之前,資安業界一直認為,DanaBot是由一家封閉式組織操控的,而且對於GootKit而言,這一現象也是新的發現。在以往的描述中,它都是一款私有工具,同樣由一家封閉式組織操控,並不透過黑市論壇出售。有趣的是,在近期黑色星期五和網購星期一前後的Emotet木馬規模性攻擊活動中,ESET還發現了其他惡意程式散佈GootKit的另一案例。


除了GootKit棲身於DanaBot所使用的伺服器之外,ESET發現DanaBot和Gootkit之間存在重重關聯,從而顯示出其幕後黑手之間的合作關係。


首先,借助ESET遙感系統的監測資料可以確定,GootKit攻擊活動指向DanaBot也使用的同一命令與控制伺服器子網和頂層網域名(TLD)。DanaBot將子網176.119.1.0/24之中的多個IP位址用作命令與控制伺服器並進行轉接,每隔幾天便會變換功能變數名稱,最常見的頂層網域名是.co(例如egnacios[.]co、kimshome[.]co等);同時DanaBot命令與控制伺服器上的惡意載荷所下載的GootKit樣本,將funetax[.]co和reltinks[.]co作為命令與控制伺服器。二者都曾在一段時間內解析為176.119.1.175。


其次,DanaBot和Gootkit共同使用的.co功能變數名稱,通常擁有同一家功能變數名稱註冊商,即Todaynic.comInc.,同時大多數時間共用同一名稱伺服器dnspod.com。


最後,ESET遙感系統發現,自2018年10月29日起的一周中,DanaBot在波蘭的活躍度大幅下降;同期,波蘭境內Gootkit活動驟然增多。在此活躍期內,GootKit使用了與近期波蘭DanaBot攻擊活動相同的散佈方式。



圖6 – 2018年10月8日至11月8日期間波蘭境內DanaBot和Gootkit的活動情況


與其他惡意程式家族的相似之處


分析DanaBot的過程中,ESET還注意到,DanaBot所採用的部分配置,與之前其他惡意程式家族中已監測到的框架相同,例如Tinba和Zeus等。這一點進而讓惡意程式開發者利用類似的網頁注入腳本,甚至再次運用協力廠商腳本。


很有趣的地方是,其中的部分腳本與ESET之前分析BackSwap木馬所運用的腳本幾乎完全相同,包含伺服器腳本的命名習慣和路徑在內。



圖7 – BackSwap(左)和DanaBot(右)使用腳本對比;差異處標定為橙色


結論

研究結果發現,隨著操控者不斷添加新的功能、測試新的散佈管道,並與其他網路犯罪集團聯手,DanaBot的行為特徵已大大超出傳統網銀木馬的範疇。 ESET全系列產品皆能夠檢測和攔截DanaBot和Gootkit兩款木馬。


受攻擊的電子郵件服務商清單


  • 基於Roundcube的一切電郵服務
  • 基於Horde的一切電郵服務
  • 基於Open-Xchange的一切電郵服務
  • aruba.it
  • bluewin.ch
  • email.it
  • gmx.net
  • libero.it
  • mail.yahoo.com
  • mail.google.com
  • mail.one.com
  • outlook.live.com
  • tecnocasa.it
  • tim.it
  • tiscali.it
  • vianova.it

垃圾郵件群發機制的網頁電子郵件服務商清單


  • 基於Open-Xchange的一切電郵服務

中毒特徵(IoC)


VBS檔用來下載惡意程式的功能變數名稱(GootKit,截至2018年12月6日)


  • job.hitjob[.]it
  • vps.hitjob[.]it
  • pph.picchio-intl[.]com
  • dcc.fllimorettinilegnaegiardini[.]it
  • icon.fllimorettinilegnaegiardini[.]it
  • team.hitweb[.]it
  • latest.hitweb[.]it
  • amd.cibariefoodconsulting[.]it

GootKit下載器模組所使用的功能變數名稱示例


  • vps.cibariefoodconsulting[.]it
  • ricci.bikescout24[.]fr
  • drk.fm604[.]com
  • gtdspr[.]space
  • it.sunballast[.]de

活躍中的DanaBot命令與控制伺服器(截至2018年12月6日)


  • 5.8.55[.]205
  • 31.214.157[.]12
  • 47.74.130[.]165
  • 149.154.157[.]106
  • 176.119.1[.]99
  • 176.119.1[.]100
  • 176.119.1[.]120
  • 176.119.1[.]176
  • 176.223.133[.]15
  • 185.254.121[.]44
  • 188.68.208[.]77
  • 192.71.249[.]50

垃圾郵件攜帶的VBS文件示例


SHA-1值 ESET檢測名稱
A05A71F11D84B75E8D33B06E9E1EBFE84FAE0C76  VBS/Kryptik.KY

下載的GootKit文件示例


SHA-1值 ESET檢測名稱
0C2389B3E0A489C8E101FFD0E3E2F00E0C461B31  Win32/Kryptik.GNNS

原文出處:https://www.welivesecurity.com/2018/12/06/danabot-evolves-beyond- banking-trojan-new-spam/