伪装成花旗银行对帐单的窃密攻击活动

原文首发出处：

https://xz.aliyun.com/t/13663

先知社区 作者：熊猫正正

前不久花旗银行被纽约总检察长起诉，指控其未能保护客户免受黑客和诈骗攻击，并允许欺诈者从受害者帐户中窃取数百万美元后拒绝向受害者赔偿，针对金融行业客户的攻击活动一直是黑客组织攻击的重点目标之一，通过木马程序控制受害者主机之后，窃取主机重要数据，然后再通过诈骗的方式骗取受害者，是现在一种比较流行的网络诈骗黑产攻击手段，国内去年以“银狐”木马为主的一些黑客团伙就是使用这种方式对多家企业进行诈骗攻击，骗取企业巨额利润，多家企业中招，损失巨大。

笔者最近跟踪到一起伪装成花旗银行对帐单的窃密攻击活动，该攻击活动的黑客利用一家墨西哥能源公司的网站和一家德国医疗护理的网络作为其载荷服务器，猜测黑客先对这两家公司的网站进行了渗透测试，入侵了这两家公司的网站后台服务器，然后将恶意脚本和恶意程序上传到这两家网站服务器上，再通过脚本从这两家网站后台服务器上下载恶意脚本和恶意程序并加载执行，笔者对该攻击活动进行了详细的分析。

黑客组织攻击活动，如下所示：

1.样本为图标PDF的LNK恶意文件，名字伪装成花旗银行的对帐单，如下所示：

2.LNK恶意文件调用CMD程序生成执行BAT脚本，并创建计划任务，如下所示：

3.创建的计划任务，如下所示：

4.解码生成的BAT脚本，从远程服务器上下载生成恶意JS脚本，并删除之前创建的计划任务，如下所示：

5.下载的恶意JS脚本会拷贝自身到ProgramData目录,并命名为agent.js，再从网上下载恶意PowerShell脚本，如下所示：

6.agent3.ps1脚本通过shellcode代码在内存中加载执行从远程服务器上下载回来的EXE程序，如下所示：

7.该EXE程序主体代码，如下所示：

8.读取资源数据到内存中，删除多余的00数据，如下所示：

9.解密资源数据，如下所示：

10.解密出来的资源数据是一个PE文件，如下所示：

11.在内存中加载执行该PE文件，如下所示：

12.通过GetUserDefaultLangID获取操作系统语言，如果为特定语言的操作系统，则退出，如下所示：

13.创建计划任务，伪装成Firefox的更新任务，如下所示：

执行之前生成的agent.js恶意脚本，如下所示：

14.加密生成相应的数据，并向远程服务器发送相应的POST数据，如下所示：

15.远程服务器URL为http://45.90.58.1/config.php,发送的POST数据格式内容，如下所示：

16.获取主机相关信息，然后进行加密操作，拼接字符串，向远程服务器发送POST数据请求，如下所示：

17.从远程服务器下载执行恶意PowerShell脚本，如下所示：

18.调用CMD命令，执行PowerShell脚本，如下所示：

19.恶意PowerShell脚本sd2.ps1，从网上下载相应的配置信息，如下所示：

20.配置信息，如下所示：

21.异或解密出恶意PowerShell脚本数据，然后调用执行，传到配置信息参数，如下所示：

22.解密出来的数据为NET编写的恶意软件，如下所示：

23.NET恶意软件解密出KOI恶意模块，并调用执行，如下所示：

24.KOI恶意模块是窃密恶意软件，窃取主机文件、通讯应用、浏览器、虚拟数字货币钱包数据，然后加密发送到远程服务器，如下所示：

25.恶意PowerShell脚本sd4.ps1与上面sd2.ps1基本一致，解密出来的KOI模块也是窃密恶意软件，如下所示：

26.向远程服务器发送POST数据请求，然后返回相应的指令，如下所示：

27.通过服务器返回不同的指令执行不同的操作，如下所示：

查看nrgtik.mx域名，已经标记为失陷主机了，如下所示：

同时可以关联到多个JS恶意脚本，如下所示：

通过分析这些脚本基本类似，只是里面的互斥变量不同，这次攻击活动应该还在持续攻击当中。

查看IP地址45.90.58.1，也已经标记为恶意软件，如下所示：

通过上面的分析以及情报关联，可以推断出这可能是某个黑客组织利用AZORult窃密木马针对花旗银行客户进行的一次窃密攻击活动。

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在，防不胜防，很多系统可能已经被感染了各种恶意软件，全球各地每天都在发生各种恶意软件攻击活动，这些攻击活动主要包含：勒索攻击、APT窃密攻击等，黑客组织从来没有停止过攻击活动，而且非常活跃，持续不断地更新攻击样本，采用新的攻击技术。

笔者一直从事与恶意软件威胁情报相关的安全分析与研究工作，包含各种各样的不同类型的恶意软件，通过深度分析和研究这些恶意软件，了解全球黑客组织最新的攻击技术以及攻击趋势。