欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

MWI-5:利用Office宏下载键盘记录器的攻击活动分析

来源:本站整理 作者:佚名 时间:2015-10-24 TAG: 我要投稿

安全研究者Gabor Szappanos正在看着那些通过Office宏下载商业HawkEye记录器的一系列恶意软件活动。
概要
当微软Office恶意软件不再像九零年代那样流行时,它仍然保留了人们的关注。目前取代了之前这些占主导地位的病毒的是,用于钓鱼攻击的下载和dropper木马。犯罪分子依赖这些恶意软件生成器来进行破坏活动。
目前,最具影响力的Office恶意软件工具包是Micorsoft Word Intruder(MWI),于俄罗斯开发。
忽略其邪恶的影响力,MWI在2015年被FireEye[1]首次曝光之前,并不为公众所知。然而,在那不久之后,FireEye又连续发布进一步的研究报告[2][3][4][5]。即便如此,这些都还仅是冰山的一角。
在MWI的帮助下,攻击规模通常故意保持很小。一些犯罪组织似乎转变了他们的策略:他们并不旨在感染成千上万台电脑,取而代之的是在同一时间感染几千台甚至几十台电脑。这种方法可以保护他们,避免引起不必要的注意。
在最近的研究中,我们绘制出2015年5月到8月中发生的不同类型MWI攻击[6]。研究报告提供了详细的MWI内部信息以及附带的服务器端模块(MWISTAT)。在本文中,我们假定读者对这些细节已经知晓了。
我们跟踪了至少十二个的不同犯罪组织,他们使用MWI恶意软件生成器来部署超过40个恶意软件家族。
在这里我们将详细说明一个木马部署的特殊方式,即利用一个商业键盘记录器应用程序在亚洲的大部分地区进行感染。
感染向量
2015年三月中旬发现的感染活动一直持续到了2015年7月底,它使用了两种不同的MWISTAT服务器。在这之后,我们并没有发现进一步的活动。
在此次操作中的初感染向量是由带有可利用RTF(富文本格式)附件的鱼叉式网络钓鱼电子邮件构成。文件是由MWI生成的。
攻击者所使用的是来自印度发向越南、以购买请求为主题的电子邮件消息,稍后我们会看到,这两个国家也是攻击者的主要目标。

图1. 包含购买请求主题的邮件信息
在第一个C&C服务器被关闭之后,攻击者转向了一台新的服务器。在这期间,我们发现了一个伪装成银行交易收据的另一主题钓鱼邮件:

图2. 观察到的不同主题的钓鱼邮件,伪装成银行交易收据
随着时间的推移,我们逐渐发现这个组织使用的一些不同邮件附件,如表1所示。

表1. 该组织使用的一些文件附件
这些附件的原始名称暗示了前面提到的,此次钓鱼邮件的两主题(货运标签或者付款收据)。
分布式负载
所有可利用文档样本都为安装了HawkEye密码盗取程序的下载。
当附件被打开,payload被下载并执行;这里安装了HawkEye键盘记录器,立即便开始收集用户凭证(图3)。HawkEye是一款商业键盘记录工具[7],不仅可以记录下键盘敲击和剪贴板的内容,同时还可以收集所有可能的密码。

图3. 被安装的HawkEye键盘记录器立即开始收集收集用户凭证
这款产品支持通过电子邮件或者网页上传盗取的信息,但是在这个操作过程中FTP传输最为常用。然而,有证据表明攻击者仍在尝试使用电子邮件提交。
被盗的信息会定期上传至服务器。抓取的文件内容与图4相似,都是明文显示。

图4. 抓取的文件内容大致如图
HawkEye看起来似乎是用于犯罪行动的一个不错选择:最近出现的都记录在[8][9]当中。有进一步的证据表明,MWI-5很可能就是Trend Micro报告中描述的犯罪组织。
服务器架构
在攻击进行中,以下被用作MWISTAT的C&C服务器:
· six-bro.com
· amittrade.com
Six-bro.com是恶意活动进行期间最为活跃的服务器。数据表明,与这台服务器相关的活动从3月中旬开始,并在2015年6月底结束,那时服务器已经被关闭。
在服务器活动期间,我们看到多个安装目录,MWISTAT明显被安装在三个不同的子目录中:webstat、webbie以及wbst(见表2)。

表2. MWISTAT很明显是被安装于三个不同的子目录中:webstat、webbie以及wbst
这并不特别;Check Point研究员也发现了同样的行为[10],他们的案例当中出现了七个不同的安装位置。两者的原因可能都是:MWISTAT软件需要升级到一个新版本。攻击者可能不想用新的版本覆盖已启动并且已经运行的程序,因此只是创建一个新的安装目录,然后使用新版本进行新的活动。
尽管six-bro.com服务器十分活跃,另一个域labelcounty.com也指向了相同的IP地址。这单单看起来并没有什么联系;six-bro.com是托管在namecheap.com上,与几十个指向同一IP地址的域名共用一个IP。然而,web服务器本身包含一个子目录 (www.six-bro.com/labelcounty.com),内容如图5所示:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载