Palo Alto Networks：Ursnif银行木马背后的分销网络

本文讲的是Palo Alto Networks：Ursnif银行木马背后的分销网络，近日，网络安全公司Palo Alto Networks的安全专家发布了一份关于Ursnif银行木马传播架构的详细分析报告。臭名昭著的银行木马Ursnif在过去一年里一直不断地攻击日本地区，攻击方式主要表现为：通过包含恶意附件的垃圾邮件进行传播，受害者一旦打来附件就会下载并执行恶意软件程序。

目前，日本东京警察部门和网络犯罪控制中心已经向日本市民发布了恶意电子邮件攻击的警告。之后，研究人员将调查关注点放在了用于发送恶意电子邮件的僵尸网络和用于托管恶意代码的web服务器上，确定了该银行木马用于各目标国家（包括日本和一些欧洲国家）的分销网络结构。

以下为分销网络结构的主要发现：

垃圾邮件僵尸网络专注于向日本、意大利、西班牙、波兰、澳大利亚和德国等地传送或下载银行木马；
Web服务器则主要用于托管银行木马和垃圾邮件僵尸文件，这些文件是由垃圾邮件分发的恶意下载程序下载的。

安全研究人员发现，攻击者将恶意文件复制到多个服务器中使其造成基础设施冗余，在2015年4月—2017年1月间，共在74种不同的服务器上发现超过200份这样的恶意文件。它们中大多数来自欧洲的个人或中小企业网站，这些网站大多已经很久没有维护了。

日本Ursnif感染向量的分析结果

安全专家观察到在2016年期间，有数百万份恶意电子邮件发动至日本。大多数电子邮件内容都是用日语编辑的（详见图1）。我们发现的最新附件检测于2017年1月，该附件是一个JavaScript下载器，可以从远程站点下载Ursnif木马并在受损设备上执行。

【图1：用日语编辑的带有恶意附件的电子邮件】

Shiotob（又称Bebloh或URLZone）是去年此类攻击活动中分布最广的威胁。我们在700万封垃圾邮件中确定了75种Shiotob变种。有趣的是，Shiotob自身可以窃取用户的网银凭证，但至少自2016上半年以来，攻击者只是用它来下载主要载荷。图2显示了感染的步骤：

【图2：感染步骤】

1. 受害者收到恶意电子邮件并打开附件，Shiotob开始感染受害者系统；
2. Shiotob开始通过HTTPS连接C2服务器并定期接收命令；
3. Shiotob基于来自C2服务器的命令安装额外的威胁程序（如Ursnif）。

【图3：从C2服务器上下载的命令】

图3是来自Shiotob C2服务器的命令示例。你可以看到C2服务器在一个会话中提供了三个“> LD”命令。这是在受损系统上安装一个远程文件的下载指令。其中两个是来自相同Ursnif二进制文件的不同位置。另一个是臭名昭著的垃圾邮件僵尸网络称为“Pushdo”存放在另一台服务器上的。一旦被感染，僵尸网络操纵者就会发送基于命令的垃圾邮件。

垃圾邮件活动

Unit 42 观察到数百万垃圾邮件攻击日本收件人，其中一些受害者可能是同时运行了银行木马和垃圾邮件僵尸网络。虽然很难知道电子邮件活动感染的确切数量，但我们发现针对日本邮件用户的垃圾电子邮件攻击正呈上升趋势（图4所示）。我们认为这是攻击者增加垃圾电子邮件僵尸网络感染的结果。

【图4：日本恶意电子邮件正呈增长趋势】

为了了解垃圾邮件僵尸网络的网络活动，我们随机抽取了200个独特的用来发送Shiotob的日本IP地址并调查究竟这些邮件发送了什么内容。结果发现，在2016年发送的268000封邮件样本中，除了Shiotob之外还有将近250种恶意程序被发送（详见图5）。

【图5：200个日本IP地址发送的恶意软件】

大多数恶意文件分为银行木马或木马下载器。此外，一些下载程序正在安装上面列出的银行木马。僵尸网络显然更专注于通过垃圾邮件传播银行木马。

基于我们的遥测（将对象参量的近距离测量值传输至远距离的测量站来实现远距离测量的技术）发现，意大利、日本、西班牙、波兰和德国是他们最主要的攻击目标。攻击者根据目标定制了不同的电子邮件内容，并使用本地化的电子邮件主题和内容来吸引使用该语言的用户。下面列出了垃圾电子邮件中经常出现的一些词语和主题（表1）。