信息來源:mottoin
Check PointDE 安全研究人員在最近一次活動中發(fā)現(xiàn)了DanaBot木馬的新樣本�����,其顯示該木馬背后的運營者現(xiàn)已在其代碼中加入了勒索軟件組件�����,以及新的字符串加密和通信協(xié)議�����。
DanaBot木馬
2018年Proofpoint的研究人員首次報道了關于DanaBot的早期版本�����,當時它被認為是一種新穎的銀行木馬�����,通過包含惡意URL的電子郵件針對澳大利亞和加拿大客戶的網(wǎng)絡釣魚發(fā)起攻擊�����,其包含網(wǎng)絡注入和竊取器功能�����。
這些釣魚郵件使用了“核對收費帳單”的主題�����,如果用戶點開了Word附件里的網(wǎng)址�����,那就會被重定向到其他網(wǎng)站上�����,比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc�����。
2018年5月6日DanaBot活動的電子郵件樣本
該木馬具有以下功能:
-
竊取瀏覽器和FTP客戶端憑據(jù)�����;
-
收集加密錢包憑據(jù);
-
在受感染的計算機上運行代理�����;
-
執(zhí)行Zeus風格的網(wǎng)絡注入�����;
-
截取屏幕截圖和錄制視頻�����;
-
通過RDP或VNC提供遠程控制�����;
-
通過TOR請求更新�����;
-
使用WUSA漏洞繞過UAC�����;
-
從C&C服務器請求更新并執(zhí)行命令。
根據(jù)Check Point的說法�����,自首次亮相以來�����,DanaBot的活動范圍已遍布澳大利亞�����、新西蘭�����、美國和加拿大�����,最近的DanaBot活動已經(jīng)蔓延至歐洲�����。
針對不同國家的活動
DanaBot木馬重大升級
Check Point研究人員周四發(fā)布文章表示�����,此次更新是DanaBot木馬的重大升級�����。然而�����,研究人員還報告說�����,他們已經(jīng)設計出一種可能的方法來恢復由新添加的DanaBot勒索軟件組件加密的文件�����。
“近一年來�����,DanaBot一直在擴展其功能并演變成更復雜的威脅�����,”Check Point研究人員Yaroslav Harakhavik和Aliaksandr Chailytko在對該木馬最新組件的描述中寫道,“我們認為背后的運營者還將繼續(xù)更多升級�����?����!?
Check Point在今年5月發(fā)現(xiàn)DanaBot木馬中添加了勒索軟件組件�����。樣本表明運營商已經(jīng)增添了NonRansomware的某個變種�����。根據(jù)Check Point的說法�����,NonRansomware勒索軟件會掃描本地驅(qū)動器上的文件并加密除Windows目錄之外的所有文件�����。被加密文件的擴展名為.non�����,而勒索通知(HowToBackFiles.txt)被放置在每個包含加密文件的目錄中(AES128)�����。
DanaBot現(xiàn)在正在部署包含以Delphi編程語言編寫的勒索軟件的可執(zhí)行文件�����。其他功能包括竊取瀏覽器憑據(jù)�����、運行本地代理以操縱Web流量�����,以及在目標系統(tǒng)上啟動遠程桌面控制�����。
該木馬最初的感染手段仍然是網(wǎng)絡犯罪分子常用的網(wǎng)絡釣魚攻擊�����。攻擊者發(fā)送信息誘使收件人下載VBS腳本的附件,該腳本用作DanaBot的部署器�����。今年1月�����,DanaBot下載器改變了它的通信協(xié)議�����,用AES256加密進行混淆�����。ESET詳細介紹了新的通信協(xié)議�����。AES256代表高級加密標準�����,在此環(huán)境下允許運營者隱藏其客戶端與攻擊者操作的C2服務器之間的通信�����。
已有加密恢復工具
Check Point能夠設計一種方法來恢復被加密的文件�����,具體方法是使用已知的受害者ID�����,使用密碼暴力強制調(diào)用所有加密文件的DecodeFile函數(shù)�����。用于文件解密的工具可以在其發(fā)布的DanaBot報告中找到�����。
下載鏈接:
https://research.checkpoint.com/wp-content/uploads/2019/06/NonDecryptor.zip
Check Point最后指出�����,勒索軟件仍然是網(wǎng)絡犯罪分子的穩(wěn)定收入來源�����。
