Palo Alto Networks:Ursnif银行木马背后的分销网络

本文讲的是Palo Alto Networks:Ursnif银行木马背后的分销网络,近日,网络安全公司Palo Alto Networks的安全专家发布了一份关于Ursnif银行木马传播架构的详细分析报告。臭名昭著的银行木马Ursnif在过去一年里一直不断地攻击日本地区,攻击方式主要表现为:通过包含恶意附件的垃圾邮件进行传播,受害者一旦打来附件就会下载并执行恶意软件程序。

目前,日本东京警察部门和网络犯罪控制中心已经向日本市民发布了恶意电子邮件攻击的警告。之后,研究人员将调查关注点放在了用于发送恶意电子邮件的僵尸网络和用于托管恶意代码的web服务器上,确定了该银行木马用于各目标国家(包括日本和一些欧洲国家)的分销网络结构。

以下为分销网络结构的主要发现:

垃圾邮件僵尸网络专注于向日本、意大利、西班牙、波兰、澳大利亚和德国等地传送或下载银行木马;
Web服务器则主要用于托管银行木马和垃圾邮件僵尸文件,这些文件是由垃圾邮件分发的恶意下载程序下载的。

安全研究人员发现,攻击者将恶意文件复制到多个服务器中使其造成基础设施冗余,在2015年4月—2017年1月间,共在74种不同的服务器上发现超过200份这样的恶意文件。它们中大多数来自欧洲的个人或中小企业网站,这些网站大多已经很久没有维护了。

日本Ursnif感染向量的分析结果

安全专家观察到在2016年期间,有数百万份恶意电子邮件发动至日本。大多数电子邮件内容都是用日语编辑的(详见图1)。我们发现的最新附件检测于2017年1月,该附件是一个JavaScript下载器,可以从远程站点下载Ursnif木马并在受损设备上执行。

 

【图1:用日语编辑的带有恶意附件的电子邮件】

Shiotob(又称Bebloh或URLZone)是去年此类攻击活动中分布最广的威胁。我们在700万封垃圾邮件中确定了75种Shiotob变种。有趣的是,Shiotob自身可以窃取用户的网银凭证,但至少自2016上半年以来,攻击者只是用它来下载主要载荷。图2显示了感染的步骤:

 

【图2:感染步骤】

1. 受害者收到恶意电子邮件并打开附件,Shiotob开始感染受害者系统;
2. Shiotob开始通过HTTPS连接C2服务器并定期接收命令;
3. Shiotob基于来自C2服务器的命令安装额外的威胁程序(如Ursnif)。

【图3:从C2服务器上下载的命令】

图3是来自Shiotob C2服务器的命令示例。你可以看到C2服务器在一个会话中提供了三个“> LD”命令。这是在受损系统上安装一个远程文件的下载指令。其中两个是来自相同Ursnif二进制文件的不同位置。另一个是臭名昭著的垃圾邮件僵尸网络称为“Pushdo”存放在另一台服务器上的。一旦被感染,僵尸网络操纵者就会发送基于命令的垃圾邮件。

垃圾邮件活动 

Unit 42 观察到数百万垃圾邮件攻击日本收件人,其中一些受害者可能是同时运行了银行木马和垃圾邮件僵尸网络。虽然很难知道电子邮件活动感染的确切数量,但我们发现针对日本邮件用户的垃圾电子邮件攻击正呈上升趋势(图4所示)。我们认为这是攻击者增加垃圾电子邮件僵尸网络感染的结果。

 

【图4:日本恶意电子邮件正呈增长趋势】

为了了解垃圾邮件僵尸网络的网络活动,我们随机抽取了200个独特的用来发送Shiotob的日本IP地址并调查究竟这些邮件发送了什么内容。结果发现,在2016年发送的268000封邮件样本中,除了Shiotob之外还有将近250种恶意程序被发送(详见图5)。

【图5:200个日本IP地址发送的恶意软件】

大多数恶意文件分为银行木马或木马下载器。此外,一些下载程序正在安装上面列出的银行木马。僵尸网络显然更专注于通过垃圾邮件传播银行木马。

基于我们的遥测(将对象参量的近距离测量值传输至远距离的测量站来实现远距离测量的技术)发现,意大利、日本、西班牙、波兰和德国是他们最主要的攻击目标。攻击者根据目标定制了不同的电子邮件内容,并使用本地化的电子邮件主题和内容来吸引使用该语言的用户。下面列出了垃圾电子邮件中经常出现的一些词语和主题(表1)。

 【表1:目标和电子邮件特征】

恶意软件托管服务器

接下来,我们开始寻找垃圾邮件发送过程中使用的恶意软件托管Web服务器。我们很快意识到,攻击者通过在多个服务器上复制威胁文件使其基础架构冗余。例如,他们将恶意文件放在服务器A和B上,另一个文件放在服务器B和C上(图6所示)

 

【图6:恶意软件冗余】

通过跟踪服务器和恶意文件的链接,我们在2015年4月—2017年1月期间,攻击者在74个服务器上复制了超过200个恶意文件。他们大多是位于欧洲的个人或中小型商业网站。这些网站内容大都已经过时,网站管理员看来已经很久没有维护过这些服务器了。图7显示了Web服务器的地理位置。

【图7 :Web服务器的地理位置】

图8显示了在Web服务器上发现的恶意软件的详细信息以及基于我们的遥测下载的恶意软件(表2)。

 

【图8 :Web服务器上的恶意软件】

【表2 :Web服务器上发现的恶意软件种类】

服务器和恶意文件之间的完整关系图如下所示(图9)。

 

【图9:服务器和恶意文件之间的关系】

结论 

部署此类银行木马的攻击者主要利用的是垃圾电子邮件僵尸网络及受损的web服务器。目前尚不清楚是否该攻击群体利用基础设施和多种威胁攻击了多个国家,或者是否有许多威胁主体共享它们。

原文发布时间为:2017年2月22日

本文作者:小二郎

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-16 04:02:10

Palo Alto Networks:Ursnif银行木马背后的分销网络的相关文章

Palo Alto Networks打造的安全平台方法论

如今,随着云计算.大数据.移动互联网的普及,我们的时代逐步迈向了网络时代,网络已经渗透到了我们生活.工作的方方面面,但随之而来的网络安全也随之而来,从斯诺登的"棱镜门"到网易邮箱"被破",如何保护网络安全,成为人们现在面临亟待解决的问题. Palo Alto Networks作为全球首先提出下一代防火墙概念的公司,目前在网络安全行业也是代表性的防火墙提供者.作为下一代安全网关Palo Alto Networks要实现从云端.网络端.端点以及威胁智能情报有机整体的结合

Palo Alto Networks威胁简报:即刻安装补丁程序,以免受到 Android Toast攻击

今天,Palo Alto Networks Unit 42研究人员发布了关于影响Google Android平台的新型高严重性漏洞的详细信息.2017年9月Android安全公告中提供了用于修复该漏洞的补丁.这种新型漏洞不会影响最新版本Android 8.0 Oreo,但会影响所有之前的Android版本.某些恶意软件会通过本文列出的一些途径进行漏洞利用,但Palo Alto Networks Unit 42目前并未发现针对这一特定漏洞进行的任何攻击.由于Android 8.0版本相对较新,这意

Palo Alto Networks:网络安全安全策略亟待改进 被动防御不如主动发现

近期,台湾ATM事件.孟加拉央行事件以及刷爆朋友圈的雅虎用户信息泄漏事件频频发生,网络犯罪分子的魔手不断伸向企业和用户.面对日新月异的未知攻击手段,企业和用户虽然在不断加大人力.物力和财力投入,但是他的网络安全防御能力真的提高了吗?老话说" 魔高一尺,道高一丈 ",比喻正义始终压倒邪恶,笔者认为这句更是指,魔的本领高一招,道的技术就大一层,不管魔怎样变化.升级本领,道都会随着他本领的变化而变化.这样的解读放在网络安全领域也是一样的.在网络攻击技术不断升级的今天,我们的安全防御技术也应该

Palo Alto Networks 升级Traps高级终端防护产品 提升终端安全防护水平

下一代安全企业Palo Alto Networks(纽交所代码:PANW)近日宣布为其高级终端防护产品Traps增加全新功能,其中包含对未知恶意软件实时防御的超强机器学习能力.这些更新将进一步强化Traps对恶意软件及漏洞的防御能力,从而减少笔记本电脑.服务器以及VDI (虚拟桌面设施)实例等终端设备对传统杀毒产品的需求. 众多机构在其终端系统上部署了大量安全产品和客户端软件,这包括一个或多个传统杀毒产品.即便如此,网络安全事件仍旧接二连三发生,甚至变得更频繁.更多元化及更加复杂.传统的杀毒产品

Palo Alto Networks进一步扩展其Traps高级终端防护产品的防御功能

本文讲的是Palo Alto Networks进一步扩展其Traps高级终端防护产品的防御功能,下一代安全企业Palo Alto Networks近日宣布实现其高级终端防护产品Traps的功能扩展,进一步强化Traps对恶意软件及漏洞的防御能力,并支持更多包括macOS和Android(测试版)在内的操作系统. Traps采用多方法防御措施替代原有AV产品,可在终端受到攻击前对已知和未知的恶意软件及漏洞进行有效阻截,事实证明,Traps完全满足美国健康保险携带和责任法案(Health Insur

Palo Alto Networks宣布成立风险基金,引领未来安全创新

本文讲的是 Palo Alto Networks宣布成立风险基金,引领未来安全创新 ,下一代安全企业Palo Alto Networks近日宣布其正在组建一家资产为2000万美元的网络安全风险基金.该基金将提供早期资本投资,以推动Palo Alto Networks下一代网络安全平台的创新网络安全应用开发. 该基金将面向那些致力于开发云安全应用的尚处于初创.早期或成长期的安全企业,这些企业以Palo Alto Networks平台和Palo Alto Networks应用框架为基础进行云应用开发

Palo Alto Networks与国际刑警组织签署首个数据交换协议

下一代安全企业Palo Alto Networks(纽交所代码:PANW)近日宣布与国际刑警组织全球创新中心 (INTERPOL Global Complex for Innovation, IGCI) 开启正式合作, Palo Alto Networks成为首个与国际刑警组织签署数据交换协议 (Data Exchange Agreement, DEA)的网络安全企业. 此项协议旨在通过共享Palo Alto Networks及其威胁情报团队Unit 42的威胁信息,从而与国际刑警组织一道来抵御

Palo Alto Networks推出全新高级终端功能 强化对勒索软件的防御

本文讲的是Palo Alto Networks推出全新高级终端功能 强化对勒索软件的防御,Palo Alto Networks近日宣布增强其Traps高级终端防护产品功能, 通过监测新的技术手段及勒索软件行为,防御攻击并防止数据被加密,以此进一步强化针对现有勒索软件的防护能力. 勒索软件攻击在复杂性和频度方面不断升级,众多企业都在迅速实现自我保护以免在下一轮攻击中倒下.根据美国网络安全机构Cybersecurity Ventures的报告显示,2017年勒索软件将为企业带来超过50亿美元的损失

Palo Alto Networks威胁简报:即刻安装补丁程序,以免受到 Android Toast 覆盖的攻

9月13日(北京)--今天,Palo Alto Networks Unit 42 研究人员发布了关于影响 Google Android 平台的新型高严重性漏洞的详细信息.2017 年 9 月Android 安全公告中提供了用于修复该漏洞的补丁.这种新型漏洞不会影响最新版本 Android 8.0 Oreo,但会影响所有之前的 Android 版本.某些恶意软件会通过本文列出的一些途径进行漏洞利用,但 Palo Alto Networks Unit 42 目前并未发现针对这一特定漏洞进行的任何攻击