|
一、綜述
近期,火絨安全實驗室發(fā)出警報,著名的美國數(shù)字文檔簽署平臺 DocuSign的用戶正在遭受病毒郵件的攻擊,該平臺
在全球擁有2億用戶,其中包括很多中國企業(yè)用戶。請DocuSign的用戶提高警惕,在收到相關(guān)郵件時仔細(xì)查驗真?zhèn)危灰?/p>
輕易打開郵件正文中的word文檔查看鏈接。
火絨安全團(tuán)隊根據(jù)截獲的病毒郵件分析和溯源,發(fā)現(xiàn)知名的數(shù)字文檔簽署平臺DocuSign遭到黑客入侵,導(dǎo)致用戶資料被泄露。
病毒團(tuán)伙得到用戶信息后,偽造了一個假域名“DocuSgn”(比DocuSign少一個字母i),從這里向用戶發(fā)出病毒郵件,病毒郵件偽
裝成會計發(fā)票,由于郵件標(biāo)題及正文均使用 DocuSign 品牌標(biāo)識,充滿迷惑性,誘騙用戶下載含有惡意代碼的word文檔,當(dāng)用戶打
開文檔時,系統(tǒng)會詢問用戶是否打開被禁用的惡意宏代碼,如果用戶啟用被禁宏,便會開啟病毒的多次接力下載,最終下載并運行Zbot。
(如下圖所示)
本次病毒郵件攻擊的受害人群僅限于DocuSign用戶,火絨安全通過虛擬行為沙盒可以檢測出惡意行為,
所以無需升級即可徹底查殺病毒,并且通過“惡意網(wǎng)址攔截”功能,攔截假冒域名docusgn.com。
二、事件分析
近期,火絨工作人員收到了一封來自"docusign"的郵件,經(jīng)火絨工程師確認(rèn),這是一封偽裝DocuSign的釣魚郵件。
圖中發(fā)件人的郵箱地址為dse@docusgn.com,和官方docusign.com有一字之差,如下圖所示:
火絨一共收到4封正文相同的郵件,只是下載文檔的地址變換了4次。分別如下:
hxxp://hertretletan.ru/file.php?document=MjEzM3pob3VqdW5AaHVvcm9uZy5jbjYxODg=
hxxp://search4athletes.com/file.php?document=MDY2NHpob3VqdW5AaHVvcm9uZy5jbjI1MTg=
hxxp://tannareshedt.ru/file.php?document=NjQzNXpob3VqdW5AaHVvcm9uZy5jbjcwMzE=
hxxp://lasvegastradeshowmarketing.com/file.php?document=NjE3Nnpob3VqdW5AaHVvcm9uZy5jbjU2MTA=
點擊“REVIEW DOCUMENT”下載包含惡意代碼的Word文檔:
下載的文檔內(nèi)容也是相似,只有一副圖片。火絨初步懷疑該惡意文檔是使用MetaSpolit工具生成。打開文檔后,
Word會詢問用戶是否打開被禁用的惡意宏代碼,如下所圖:
如果按照釣魚文檔的說明,關(guān)閉安全警告啟用宏,就會觸發(fā)文檔中的惡意腳本,腳本執(zhí)行過程中會進(jìn)行多次解密,解密數(shù)
據(jù)來自于宏腳本窗口中的控件對象。控件對象數(shù)據(jù)如下:
關(guān)鍵解密過程如下:
控件對象數(shù)據(jù)最終會解密出包含惡意代碼的PE文件,然后啟動系統(tǒng)進(jìn)程svchost.exe,將解密后的病毒注入到svchost.exe中執(zhí)行:
被注入的svchost.exe還是一個下載器,聯(lián)網(wǎng)后下載另一個病毒程序"BN2589.tmp.exe"到TEMP目錄并執(zhí)行。
通過分析, “BN2589.tmp.exe”是一個被混淆器多重加密的Zbot。病毒會啟動explorer.exe作為傀儡進(jìn)程運行惡意代碼:
上圖中Explorer被病毒Patch了入口點代碼,確保在Explorer恢復(fù)線程后,可以從入口點跳轉(zhuǎn)到注入的惡意代碼,隨后跳轉(zhuǎn)到惡意代碼入口點繼續(xù)解密:
注入到explorer的惡意代碼是一個混淆后的動態(tài)庫,其導(dǎo)入表是經(jīng)過加密進(jìn)行存放的,在動態(tài)庫被注入后會先對其導(dǎo)
入表進(jìn)行修復(fù),修復(fù)后進(jìn)
會保留函數(shù)地址,并對函數(shù)名部分進(jìn)行擦除:
其父進(jìn)程注入explorer時會在其內(nèi)存塊其實地方記錄下一段加密的用戶配置信息和啟動程序路徑:
病毒主邏輯中,首先會檢測虛擬機(jī)進(jìn)行反調(diào)試:
該樣本中所使用的所有資源都被加密:
通過解密可以得到C&C服務(wù)器域名如下:
其程序運行中會不斷的嘗試聯(lián)網(wǎng),獲取C&C傳回的數(shù)據(jù)信息。在樣本中我們還發(fā)現(xiàn)大量DNS服務(wù)器,如下:
185.121.177.53
185.121.177.177
45.63.25.55
111.67.16.202
142.4.204.111
142.4.205.47
31.3.135.232
62.113.203.55
37.228.151.133
144.76.133.38
這些DNS服務(wù)器具有DNSCrypt功能,推測其目的是加密訪問病毒C&C服務(wù)器,如下:
完整的解密后數(shù)據(jù):
根據(jù)病毒的行為和復(fù)雜程度,結(jié)合上圖中紅色框中的解密出來的字符片段,但是通過此前泄露的ZBot源碼,可以斷定這就是Zbot無疑:
Zbot是一個歷史悠久且功能復(fù)雜的木馬程序,因為源碼的泄露。使得任何人都可對其修改,我們可以從之前泄露的Zbot源碼看到病毒有以下主要行為:
1.獲取瀏覽器cookies,flash player cookies, FTP密碼和email密碼。
Zbot會針對不同的FTP和email客戶端,讀取其保存賬戶信息的注冊表或文件,
之后將收集到的信息打包發(fā)送到病毒作者的C&C服務(wù)器。從下面兩張圖中,我們可以看到
Zbot能夠盜取市面上主流FTP和email軟件的賬戶信息。
2.HOOK InternetReadFile 和 InternetReadFileExA函數(shù),在獲取網(wǎng)頁時向網(wǎng)頁中注入代碼獲取用戶的賬戶信息:
3.HOOK GetClipboardData 函數(shù)獲取剪切板信息:
4.HOOK TranslateMessage函數(shù),攔截程序消息,當(dāng)為按鈕按下消息時,截屏保存圖片。當(dāng)為鍵
盤按鍵消息時,則記錄按鍵信息。如下圖所示:
除了上述介紹的幾個函數(shù)外Zbot還HOOK了一些系統(tǒng)API,和上述方法類似,主要用于獲取用戶信息,這里就不再詳細(xì)列舉。
Docusign是數(shù)字文檔簽署平臺,其客戶多是企業(yè)用戶。此次Zbot攻擊,非常有針對性,結(jié)合Zbot的行為, 不排除病毒會竊取商業(yè)資料,網(wǎng)銀密碼、等企業(yè)關(guān)鍵信息。
火絨在攔截到病毒樣本之前就已經(jīng)可以對相關(guān)病毒樣本進(jìn)行查殺,并且在攔截到病毒當(dāng)天就升級了惡意網(wǎng)址攔截,阻攔了虛假域名docusgn.com。
三、附錄
樣本SHA1:
Eml
652eb7097d327cae8bd8a1d0d8e606f6a77603c8
99d84db0b071f0db97dc9d024349c3f4edb66911
a5f30b73103754923c568d7548af56fceed148b5
eda9ac8e9b21c969c11d05337892e44fa9c1c045
DOC
cb6797ff6eb43748c07faaa7bf949a42929a5220
d6eefe9314ff0c581acf26d5a647e40c9d12fcd8
PE
a809de46a2e21ac6aab7b66dbaa2206332935af3
ae76db7f24a111ca022b00d29fb08cc76cbab41b
分析報告下載鏈接:http://down4.huorong.cn/doc/docusign.pdf
|
