test
2018-12-14
DanaBot新增垃圾郵件發送功能,進化後已超越傳統網銀木馬
暨之前跟大家分享銀行木馬DanaBot將攻擊目標轉向歐洲並新增多項特性後,ESET近期
的研究結果發現,DanaBot的幕後黑手一直在不斷擴大攻擊範圍,疑似與另一犯罪集團聯
手
DanaBot不斷進化,其能力已超越傳統網銀木馬範疇。根據ESET研究結果,狡猾的幕後
黑手近期已在嘗試盜取電子郵件信箱帳密和大量寄發垃圾郵件功能,利用現有受害者的網
頁電子郵件帳號,進一步大肆散佈惡意程式。
除一系列新增功能外,由ESET發現的其他種種跡象顯示,DanaBot的操控者已與另一款
進階木馬GootKit的犯罪份子聯手 – 對於習慣獨立行事的駭客團隊而言,這一模式極為罕
見。
利用受害者郵件信箱群發垃圾郵件
2018年9月 DanaBot大肆向歐洲各國擴散 期間,ESET在分析被用來攻擊義大利多家網頁
電子郵件使用者的頁面注入代碼時,先前未曾報導過的一些功能引起了研究人員的關注。
據ESET分析,在目標網頁郵件信箱服務頁面中注入的Java腳本,可大致劃分為兩種主要
功能:
1. DanaBot從現有受害者的電子郵件信箱中盜取大量聯絡人電子郵件位址,並透過在目
標網頁郵件信箱的服務頁面上注入惡意腳本來進行,一旦受害者登錄後,便會處理受
害者的電子郵件,並將已找到的全部郵件信箱位址集中發送至C&C Server。
圖1 – DanaBot大肆盜獵電郵地址
2. 對於目標網頁電子郵件服務基於Open-Xchange套裝架構的情況 – 例如義大利知名網
頁電子郵件服務網站libero.it等 – DanaBot也會注入頁面腳本,並利用受害者的郵件信
箱,向已蒐集到的電子郵件地址透過私有群組寄發垃圾郵件。
惡意郵件是以淪陷郵件信箱中收到郵件回覆的形式發出的,使之貌似收件人本人發出的郵
件。此外,對於已配置郵件數位簽章的帳戶,發出的郵件均具有有效的數位簽章。
很有意思的是,攻擊者疑似對於含有字串“pec”的郵箱地址特別感興趣,由於此類郵件信
箱是義大利“認證電子郵件信箱”位址,從而表明DanaBot作者的重點攻擊目標為,最可能
使用此類認證服務的政府機關和企業郵件信箱。
寄出電子郵件均含有從攻擊者伺服器上預先下載的ZIP附件,其中包含一個假冒的PDF檔
及一個惡意VBS檔。執行VBS檔後,便會通過PowerShell命令下載後續的惡意程式。
圖2 – 從命令與控制伺服器下載惡意ZIP檔的代碼
圖3 – 新建電郵並添加惡意ZIP附件的代碼
圖4 – 近期針對義大利的網路攻擊中,含有惡意ZIP附件的垃圾郵件示例(來源:VirusTotal)
圖5 – ZIP附件內容示例
撰寫本文時,上述惡意功能仍僅僅以義大利為攻擊目標;受攻擊的電子郵件服務商清單,
請詳見本文文末。
DanaBot和GootKit之間的重重聯繫
在分析了DanaBot C&C Server上的惡意VBS檔後,ESET還發現它指向一個GootKit下載
模組,後者是主要用於網銀詐騙類攻擊的一款進階隱藏木馬,惡意VBS檔疑似自動生成,
而且每次造訪時都有所不同。
這是ESET首次發現DanaBot散佈其他惡意程式的現象,在此之前,資安業界一直認為
,DanaBot是由一家封閉式組織操控的,而且對於GootKit而言,這一現象也是新的發現。
在以往的 描述 中,它都是一款私有工具,同樣由一家封閉式組織操控,並不透過黑市論壇
出售。有趣的是,在近期黑色星期五和網購星期一前後的Emotet木馬規模性攻擊活動中
,ESET還發現了其他惡意程式散佈GootKit的另一案例。
除了GootKit棲身於DanaBot所使用的伺服器之外,ESET發現DanaBot和Gootkit之間存在
重重關聯,從而顯示出其幕後黑手之間的合作關係。
首先,借助ESET遙感系統的監測資料可以確定,GootKit攻擊活動指向DanaBot也使用的
同一命令與控制伺服器子網和頂層網域名(TLD)。DanaBot將子網176.119.1.0/24之中的
多個IP位址用作命令與控制伺服器並進行轉接,每隔幾天便會變換功能變數名稱,最常見
的頂層網域名是.co(例如egnacios[.]co、kimshome[.]co等);同時DanaBot命令與控制伺
服器上的惡意載荷所下載的GootKit樣本,將funetax[.]co和reltinks[.]co作為命令與控制伺
服器。二者都曾在一段時間內解析為176.119.1.175。
其次,DanaBot和Gootkit共同使用的.co功能變數名稱,通常擁有同一家功能變數名稱註
冊商,即Todaynic.com Inc.,同時大多數時間共用同一名稱伺服器dnspod.com。
最後,ESET遙感系統發現,自2018年10月29日起的一周中, DanaBot在波蘭的活躍度
大幅下降;同期,波蘭境內Gootkit活動驟然增多。在此活躍期內,GootKit使用了與近期
波蘭DanaBot攻擊活動相同的散佈方式。
圖6 – 2018年10月8日至11月8日期間波蘭境內DanaBot和Gootkit的活動情況
與其他惡意程式家族的相似之處
分析DanaBot的過程中,ESET還注意到,DanaBot所採用的部分配置,與之前其他惡意
程式家族中已監測到的框架相同,例如Tinba和Zeus等。這一點進而讓惡意程式開發者利
用類似的網頁注入腳本,甚至再次運用協力廠商腳本。
很有趣的地方是,其中的部分腳本與ESET之前分析 BackSwap木馬 所運用的腳本幾乎完
全相同,包含伺服器腳本的命名習慣和路徑在內。
圖7 – BackSwap(左)和DanaBot(右)使用腳本對比;差異處標定為橙色
結論
研究結果發現,隨著操控者不斷添加新的功能、測試新的散佈管道,並與其他網路犯罪集
團聯手,DanaBot的行為特徵已大大超出傳統網銀木馬的範疇。
ESET全系列產品皆能夠檢測和攔截DanaBot和Gootkit兩款木馬。
- 受攻擊的電子郵件服務商清單
- 基於Roundcube的一切電郵服務
- 基於Horde的一切電郵服務
- 基於Open-Xchange的一切電郵服務
- aruba.it
- bluewin.ch
- email.it
- gmx.net
- libero.it
- mail.yahoo.com
- mail.google.com
- mail.one.com
- outlook.live.com
- tecnocasa.it
- tim.it
- tiscali.it
- vianova.it
垃圾郵件群發機制的網頁電子郵件服務商清單
- 基於Open-Xchange的一切電郵服務
中毒特徵(IoC)
VBS檔用來下載惡意程式的功能變數名稱(GootKit,截至2018年12月6日)
- job.hitjob[.]it
- vps.hitjob[.]it
- pph.picchio-intl[.]com
- dcc.fllimorettinilegnaegiardini[.]it
- icon.fllimorettinilegnaegiardini[.]it
- team.hitweb[.]it
- latest.hitweb[.]it
- amd.cibariefoodconsulting[.]it
GootKit下載器模組所使用的功能變數名稱示例
- vps.cibariefoodconsulting[.]it
- ricci.bikescout24[.]fr
- drk.fm604[.]com
- gtdspr[.]space
- it.sunballast[.]de
活躍中的DanaBot命令與控制伺服器(截至2018年12月6日)
- 5.8.55[.]205
- 31.214.157[.]12
- 47.74.130[.]165
- 149.154.157[.]106
- 176.119.1[.]99
- 176.119.1[.]100
- 176.119.1[.]120
- 176.119.1[.]176
- 176.223.133[.]15
- 185.254.121[.]44
- 188.68.208[.]77
- 192.71.249[.]50
垃圾郵件攜帶的VBS文件示例
| SHA-1值 | ESET檢測名稱 |
| A05A71F11D84B75E8D33B06E9E1EBFE84FAE0C76 | VBS/Kryptik.KY |
下載的GootKit文件示例
| SHA-1值 | ESET檢測名稱 |
| 0C2389B3E0A489C8E101FFD0E3E2F00E0C461B31 | Win32/Kryptik.GNNS |
原文出處:https://www.welivesecurity.com/2018/12/06/danabot-evolves-beyond-
banking-trojan-new-spam/
