欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

buhtrap后门和勒索软件通过广告平台进行分发

来源:本站整理 作者:佚名 时间:2019-05-09 TAG: 我要投稿

过去几个月,研究人员发现有黑客组织使用Buhtrap和RTM两个著名后门作为勒索软件和加密货币窃取器来攻击位于俄罗斯的企业。攻击活动主要是通过Yandex.Direct发布恶意广告来重定向潜在目标到提供伪装为文档模板的恶意下载的网站。
注:Yandex是俄罗斯的最大的互联网搜索引擎,Yandex.Direct是其在线广告网络。
研究人员发现Buhtrap后门的源码已经在网络上泄露了,而RTM的代码还没有被泄露。本文描述攻击者如何滥用Yandex.Direct和GitHub来分发恶意软件。
传播机制和受害者
将不同payload联系在一起的攻击者传播位于两个不同GitHub仓库的恶意文件的方式。一般只有一个GitHub仓库的恶意文件是可以下载的,但是具体是哪一个会频繁变化。通过GitHub仓库的修改历史,可以发现恶意软件可以在任意给定时间内传播。受害者被引诱来下载恶意文件的一种方式是通过网站blanki-shabloni24[.]ru,如图1所示。

图1 –  blanki-shabloni24[.]ru的加载页
网站的设计和所有的恶意文件名都非常清除:都是表单、模板和合同。伪造的软件名翻译过来是“表格、模板和合同样本集2018”。因为Buhtrap和RTM木马在过去就攻击过审计机构,因为攻击采用这样的策略也就不足为奇了。但受害者是如何被重定向到该网站呢?
感染活动
其中一些受害者是通过恶意广告活动来到该站点的,下面是一个到恶意站点的重定向URL示例:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
从该URL可以看出是一个发布在bb.f2[.]kz上的banner,bb.f2[.]kz是一个合法的审计论坛。需要说明的是这些banner出现在许多不同的网站上,攻击活动id为blanki_rsya,而且大多数都与审计或合法的帮助服务相关。从该URL中还可以看出用户搜索了“скачать бланк счета” 或“download invoice template(下载发票模板)”,这也印证了攻击目标。Banner发布的网站和相关的搜索词见表1。

表1– banner展示的域名和使用的搜索词
总的来说,攻击者通过Yandex.Direct展示可能会被会计访问来搜索特定关键词的广告分发活动。
Payload分析
传播时间线
恶意软件活动是从2018年10月开始的,一直持续到现在。因为整个仓库都是GitHub上,因为可以看到恶意软件家族分发的准确时间线,如图2所示。研究人员在这段时间内在GitHub上共发现有6款不同的恶意软件家族。

图2 –  恶意软件传播的时间线
代码签名证书
攻击活动中还使用了多款不同的代码签名证书来为恶意软件进行数字签名。一些证书被用于为不至一款恶意软件签名。攻击者并没有对上传到git仓库的二进制文件进行系统地签名。2019年2月底,攻击者也使用了属于Google的证书来进行无效的签名,因为攻击者并没有私钥。
所有攻击活动中使用的证书和签名的恶意软件如表2所示。

表2 证书和签名的恶意软件列表
研究人员也使用这些代码签名证书来查看是否可以将其与其他恶意软件家族关联起来。但对大多数证书,研究人员并未发现不通过GitHub库进行传播的恶意软件。但研究人员发现TOV “MARIYA”证书曾被用于签名属于Wauchos僵尸网络的广告恶意软件和加密货币挖矿机。研究人员并没有发现这些恶意软件变种与本攻击活动之前的关联,研究人员猜测这些证书可能是从黑市买的。
Win32/Filecoder.Buhtrap
研究人员发现一个之前从未发现过的组件Win32/Filecoder.Buhtrap,这是一个Delphi恶意软件,主要在2月和3月份传播。该组件有勒索软件的行为,会找到和加密本地驱动和网络共享上的文件。加密受害者文件并不需要网络连接,因为它不需要连接服务器来发送加密密钥。组件会将token加到勒索信息的后面,并要求受害者通过邮件或Bitmessage与攻击者联系。
为了尽可能多地加密重要的组件,Filecoder.Buhtrap会开启一个线程来杀掉可能处理这些重要文件和数据的软件。目标进程主要是数据库管理系统。Filecoder.Buhtrap还会移除日志文件和备份文件,使用受害者没有离线备份文件而无法恢复文件。为此,需要执行图3中的batch脚本。

图3 – 移除备份和日志文件的脚本
Filecoder.Buhtrap还会使用合法的在线服务IP Logger,该服务是用来收集谁访问了网站的信息的。这是用来记录勒索软件的受害者的。图4中的命令行就是这个作用。

图4 – 查询iplogger.org
加密的文件是根据执行匹配这3个列表失败来选择的:
首先,不加密以下扩展的文件名,.com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys和.bat;

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载