深入剖析一场针对意大利政府机构的Gootkit木马活动


ReaQta在最近观察到了一场活跃的Gootkit木马活动,主要针对的是意大利政府机构。值得注意的是ReaQta对这场活动的监控是从2018年11月底开始的。但到目前为止,各大防病毒引擎针对在这场活动中使用的恶意文件的检出率仍然非常低。
在这场活动中,木马的传播主要依赖于鱼叉式网络钓鱼电子邮件,并且针对不同的政府机构使用了不同的主题。需要指出的是,发件人使用的是PEC(实名认证的电子邮箱)邮箱地址。分析表明,这些电子邮箱是从这些政府机构官方网站收集而来的。
电子邮件使用的主题:
  • Re: Approvazione ordine del giorno
  • Re: Notificazione ai sensi della legge n. 53 del 1994 e modifiche e integrazioni
  • POSTA CERTIFICATA: Re: AMM:Ministero Economia e Finanze AOO:DSII Protocollo numero:0004592 del 14/02/2018
  • Re: Modello DA2018 Tassone Cosimo

目标政府机构:
  • Comune di Sarcedo (comune.sarcedo.vi.it)
  • Comune di Quarto (www.comune.quarto.na.it)
  • Comune di Forino (comune.forino.av.it)
  • Comune di Vicenza (comune.vicenza.it)
  • Comune di Bevilacqua (comune.bevilacqua.vr.it)
  • Comune di Verona (comune.verona.it)
  • Comune di Belfiore (comune.belfiore.vr.it)
  • Comune di Caldiero (comune.caldiero.vr.it)
  • Comune di Bonavigo (comune.bonavigo.vr.it)
  • Comune di Pressana (comune.pressana.vr.it)
  • Comune di Thiene (comune.thiene.vi.it)
  • Comune di Zanè (comune.zane.vi.it)
  • Comune di Terrazzo (comune.terrazzo.vr.it)
  • Comune di Lavagno (comune.lavagno.vr.it)
  • Comune di Sarego (sarego.gov.it)
  • Comune di Zimella (zimella.com)
  • Comune di Minerbe (comune.minerbe.vr.it)
  • Comune di Veronella (comune.veronella.vr.it)
  • Comune di Mezzane di Sotto (comune.mezzane.vr.it)
  • Comune di Boschi Sant’Anna (comune.boschisantanna.vr.it)
  • Comune di Montecchio Precalcino (comune.montecchioprecalcino.vi.it)
  • Comune di Monteforte d´Alpone (comune.montefortedalpone.vr.it)
  • Comune di Albaredo d’Adige (comune.albaredodadige.vr.it)
  • Comune di San Germano dei Berici (comune.sangermanodeiberici.vi.it)
  • Agenzia Entrate Riscossione (agenziaentrateriscossione.gov.it)
  • Dipartimento dell’Amministrazione Generale del Personale e dei Servizi (dag.mef.gov.it)
  • Ordine dei Dottori Commercialisti e degli Esperti Contabili di Locri (dceclocri.it)
  • Regione del Veneto (regione.veneto.it)

图1. 以恶意ZIP文件作为附件的钓鱼电子邮件

如上图所示,恶意电子邮件附带有一个ZIP文件。这个压缩文件包含有两个文件:一个是检出率为0的恶意VBS文件,另一个是被用作诱饵的合法PDF文档。ReaQta检测到的大多数ZIP文件都使用了如下命名格式:
  • Avviso_[随机数].zip
  • Document_[随机数].zip
  • fattura_elettronica___[随机数].zip
  • _Nuovi Fattura elettronica 2018__[随机数].zip

之所以这场活动会引起ReaQta威胁情报团队的注意,主要是由于恶意VBS文件所使用的混淆方法,以及攻击第一阶段恶意代码的低检出率。总的来说,ReaQta一共针对24个恶意VBS文件样本进行分析。
在ReaQta对这些样本进行分析时(2018年12月3日),只有一种防病毒引擎能够检测出23个样本中的5个,而其他引擎(包括静态引擎和基于ML的引擎)都无法检测出这些样本。
图2.恶意VBS文件在VirusTotal上的检出率显示为0

分析表明,恶意VBS文件下载的最终payload,是众所周知的多功能银行木马Gootkit的变种。在以下内容中,ReaQta重点分析了恶意VBS文件的感染策略,虽然也会涉及到对Gootkit木马的讨论,但不会太过深入。因为,此前已经有许多其他的研究人员和安全公司对该木马进行了详细的介绍。事实上,早在许多年以前,这个银行木马就已经开始活跃了。

感染策略


如上所述,钓鱼电子邮件的ZIP附件包含一个PDF文档和一个恶意VBS文件。其中,恶意VBS文件是采用意大利文命名的,具体如下:
  • PREVENTIVO GIULIANO PORTE CANTINA E BOX 890
  • VETRERIA MARTELLI – 18mq 183
  • Eseguito Bonifico Europeo Unico
  • PREVENTIVO SCHELI STOP SECURITY
  • Conferma Ordine 2041 del 03_03_2018
  • Eseguito Pagamento MAV
  • Eseguito Pagamento RAV
  • Eseguito Pagamento Bollettino  Postale
  • F24 Ordinario
  • INVITO CORSO DI SECONDO LIVELLO
  • TASSE E IMPOSTE 2017
  • Notifica conferma e invio dichiarazione di Marco Monten
  • Richiesta preventivo attrezzatur
  • LETTERA ASSUNZIONE VIALE ANDREA ANGELO LUGLIO
  • Nuovi Fattura elettronica 2018

虽然在过去的两个月里,意大利就一直在遭受这些恶意VBS文件的攻击,但在这场最新的活动中,除了令人难以置信的低检出率之外,恶意VBS文件使用的混淆方法也发生了一些变化。
下图展示的是在此前活动(10月/ 11月)中使用的VBS文件与当前活动中使用的VBS文件的对比:
图3.恶意VBS文件使用的不同混淆方法

对于所有ZIP附件来说,包含的PDF文档都是相同的——于2011年11月30日发表的《Consiglio Nazionale delle Ricerche – Istituto di Biometeorologia》。
图4.诱饵PDF文档

这些恶意VBS文件包含3,537到4,253行不等的混淆代码,作为逃避安全检测的一种手段,也是导致其检出率如此低的根本所在。
图5.五个不同恶意VBS文件包含的混淆代码

另一方面,恶意VBS 文件能够通过调用PowerShell来执行命令,以建立与托管最终payload的恶意服务器的连接。然后,通过发送GET请求来下载payload。具体来说,下载是通过使用参数“/upll?[Random-number]”来完成的,下载的payload最终将被保存到%TEMP%文件夹中并执行。
图6.通过PowerShell执行的恶意命令

ReaQta使用ReaQta-Hive重建了整个场景,如下图所示:

从上图可以看出,payload被命名为“ SDWSCSvc.exe ”,试图伪装成安全软件Spybot的一部分。但值得注意的是,payload在每一次的新活动中都会采用一个新的文件名。
执行payload,它将生成一个具有相同文件名的INF 文件,用于控制执行过程,而这正是Gootkit木马的典型特征之一。
图7.Gootkit INF文件

其中的字符串“$CHICAGO$”表明,该文件对微软所有的操作系统都有效。
此外,出现在这场活动中的Gootkit木马还利用了系统注册表的GPO(组策略对象)来实现持久性,以确保它在每一次受感染主机重启后都能够自动运行。

网络通信


在这场活动中,恶意VBS文件会与不同的恶意服务器建立连接。根据ReaQta的分析,这些域名大都来自意大利和法国。以下是在这场活动中使用的恶意服务器:
IP 194.76.225.11解析为:
  • icon.fllimorettinilegnaegiardini.it
  • dcc.fllimorettinilegnaegiardini.it
  • job.hitjob.it

IP 109.230.199.169解析为:
  • vps.cibariefoodconsulting.it
  • ricci.bikescout24.fr
  • don.bikescout24.fr
  • drk.fm604.com

IP 176.10.125.81解析为:
  • team.hitweb.it
  • latest.hitweb.it


总结


一些恶意脚本正在开始变得通用,事实上ReaQta已经观察到它们成为了不同的攻击活动的基本组成部分。例如,在此前ReaQta分析的针对卡塔尔和土耳其的鱼叉式网络钓鱼活动中以及旨在传播Ursnif银行木马的活动中,攻击者都使用了PowerShell脚本来下载payload。
在这种情况下,依旧非常低的检出率表明,即使是已知的攻击媒介也同样可以被用来发起新的攻击。因此,ReaQta建议大家更加应该保持警惕。事实证明,这些已知的攻击媒介照样能够被用在不被发现的情况下传播各种恶意软件,比如在本文中讨论的Gootkit。
 
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
转载请注明本文链接: http://www.mayidui.net/t2826.html
游客
登录后才可以回帖,登录 或者 注册