網銀木馬DYRE最新變種開始利用微軟Outlook攻擊銀行
責編:admin |2015-03-19 13:20:55DYRE是一款針對金融機構的惡意木馬,2014年全球范圍內多次的網絡釣魚攻擊事件中我們曾發現它的蹤跡。最近,趨勢科技的安全研究人員發現DYRE的最新變種開始利用微軟Outlook傳播病毒。
新版DYRE感染過程
早在去年10月,安全人員發現了惡意軟件UPATRE-DYRE正通過僵尸網絡CUTWALL傳播。我們觀察到,其的傳播方式與ZeuS變種Gameover的方式十分相似。
而近日DYRE的最新變種改進了傳播手段和繞過殺毒軟件的技術。DYRE采用非常典型的攻擊方式感染受害者電腦——攻擊者向受害者發送垃圾郵件,附件中包含UPATRE downloader(TROJ_UPATRE.SMBG)進而感染系統。
在這個全新的感染過程中,我們觀察到,一旦DYRE被安裝,就會下載蠕蟲病毒(WORM_MAILSPAM.XDP)。這款蠕蟲能夠使用微軟Outlook寫郵件,然后再附件中加入UPATRE病毒。
病毒使用msmapi32.dll庫(由微軟Outlook提供),病毒用這個庫執行郵件相關的功能(如:登錄、發送郵件、添加附件等)。
以下這些信息來自硬編碼的C&C服務器地址:
type
send_to_all
additional_emails
client_connection_id
message_attach
attach_type
attach_name
attach_data_base64
subject
content
id_string
這些參數被惡意軟件用來向特定目標發送郵件。當目標被入侵后,病毒會立即獲取受害者的聯系人列表,尋找目標再次發送郵件。
接著,附件中的UPATRE病毒會下載DYRE,如此循環往復。這種方法使得DYRE的傳播速度加快。下圖是感染過程的圖示:
蠕蟲WORM_MAILSPAM.XDP會連接到硬編碼的命令與控制(C&C)服務器,然后它會從C&C服務器中獲得必要的參數用來發送垃圾郵件。完成一系列郵件發送任務后,WORM_MAILSPAM.XDP就會自動刪除。
DRYE變種的新技能
1、使用SSL傳輸與C&C服務器之間的數據
SSL協議通常用于用戶登錄網站的時候。而現在,DYRE使用SSL協議的安全性使得我們更難分析它的通訊內容。與2014年10月發現的DYRE變種不同的是,現在的這個變種在與服務器通信的過程中全程使用SSL協議。
如果DYRE無法連接C&C服務器,它會使用兩種途徑聯系黑客,使用域名生成算法(domain generation algorithm, DGA)生成的URL聯系黑客,或者連接到一個硬編碼的I2P地址。
2.使用匿名網絡I2P
我們在Cryptowall 3.0勒索軟件和重生絲綢之路的報道中看到過I2P網絡,使用I2P網絡能夠使得服務器的地址更加隱蔽。
3.使用了域名生成算法
新的DYRE變種會生成34個字符的字串,再結合6中頂級域名:.cc, .ws, .to, .in, .hk, .cn, .tk和.so域名。這種方法之前WORM_DOWNAD.A使用過,而現在,在服務器無法連接的情況下,DYRE用這種方法建立連接。
攻擊目標增多
由于DYRE是一個針對銀行信息和客戶數據的遠程訪問木馬(RAT),原本木馬中有206個目標網站,在這款新的DYRE變種中網站數量增加到了355個——新加入的網站大都是比特幣網站和一些銀行網站,主要是些美國的網站。
DYRE會等待用戶連接這些目標站點,之后竊取信息。目標網站包括摩根大通銀行、英國巴克萊銀行、墨爾本銀行、花旗等。
根據趨勢科技一月的數據顯示,DYRE的感染者中美國用戶達到68%,之后是加拿大(10%)和智利(4%)。
安全建議
建議用戶時刻保持警惕,提防社會工程學攻擊。在下載附件之前請確保你認識發件人。另外DYRE和UPATRE的附件多為.ZIP和.RAR文件,在下載這些文件時要格外小心。
相關文件哈希值
f50c87669b476feb35a5963d44527a214041cc2e – TROJ_UPATRE.SMBG
5250d75aaa81095512c5160a8e14f941e2022ece – TSPY_DYRE.YYP
9860d5162150ea2ff38c0793cc272295adf1e19a – WORM_MAILSPAM.XDP
文章來源:Freebuf黑客與極客(FreeBuf.COM)