信息來源:mottoin
Check PointDE 安全研究人員在最近一次活動中發(fā)現(xiàn)了DanaBot木馬的新樣本,其顯示該木馬背后的運營者現(xiàn)已在其代碼中加入了勒索軟件組件,以及新的字符串加密和通信協(xié)議。
DanaBot木馬
2018年Proofpoint的研究人員首次報道了關于DanaBot的早期版本,當時它被認為是一種新穎的銀行木馬,通過包含惡意URL的電子郵件針對澳大利亞和加拿大客戶的網(wǎng)絡釣魚發(fā)起攻擊,其包含網(wǎng)絡注入和竊取器功能。
這些釣魚郵件使用了“核對收費帳單”的主題,如果用戶點開了Word附件里的網(wǎng)址,那就會被重定向到其他網(wǎng)站上,比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc。
2018年5月6日DanaBot活動的電子郵件樣本
該木馬具有以下功能:
-
竊取瀏覽器和FTP客戶端憑據(jù);
-
收集加密錢包憑據(jù);
-
在受感染的計算機上運行代理;
-
執(zhí)行Zeus風格的網(wǎng)絡注入;
-
截取屏幕截圖和錄制視頻;
-
通過RDP或VNC提供遠程控制;
-
通過TOR請求更新;
-
使用WUSA漏洞繞過UAC;
-
從C&C服務器請求更新并執(zhí)行命令。
根據(jù)Check Point的說法,自首次亮相以來,DanaBot的活動范圍已遍布澳大利亞、新西蘭、美國和加拿大,最近的DanaBot活動已經(jīng)蔓延至歐洲。
針對不同國家的活動
DanaBot木馬重大升級
Check Point研究人員周四發(fā)布文章表示,此次更新是DanaBot木馬的重大升級。然而,研究人員還報告說,他們已經(jīng)設計出一種可能的方法來恢復由新添加的DanaBot勒索軟件組件加密的文件。
“近一年來,DanaBot一直在擴展其功能并演變成更復雜的威脅,”Check Point研究人員Yaroslav Harakhavik和Aliaksandr Chailytko在對該木馬最新組件的描述中寫道,“我們認為背后的運營者還將繼續(xù)更多升級。”
Check Point在今年5月發(fā)現(xiàn)DanaBot木馬中添加了勒索軟件組件。樣本表明運營商已經(jīng)增添了NonRansomware的某個變種。根據(jù)Check Point的說法,NonRansomware勒索軟件會掃描本地驅(qū)動器上的文件并加密除Windows目錄之外的所有文件。被加密文件的擴展名為.non,而勒索通知(HowToBackFiles.txt)被放置在每個包含加密文件的目錄中(AES128)。
DanaBot現(xiàn)在正在部署包含以Delphi編程語言編寫的勒索軟件的可執(zhí)行文件。其他功能包括竊取瀏覽器憑據(jù)、運行本地代理以操縱Web流量,以及在目標系統(tǒng)上啟動遠程桌面控制。
該木馬最初的感染手段仍然是網(wǎng)絡犯罪分子常用的網(wǎng)絡釣魚攻擊。攻擊者發(fā)送信息誘使收件人下載VBS腳本的附件,該腳本用作DanaBot的部署器。今年1月,DanaBot下載器改變了它的通信協(xié)議,用AES256加密進行混淆。ESET詳細介紹了新的通信協(xié)議。AES256代表高級加密標準,在此環(huán)境下允許運營者隱藏其客戶端與攻擊者操作的C2服務器之間的通信。
已有加密恢復工具
Check Point能夠設計一種方法來恢復被加密的文件,具體方法是使用已知的受害者ID,使用密碼暴力強制調(diào)用所有加密文件的DecodeFile函數(shù)。用于文件解密的工具可以在其發(fā)布的DanaBot報告中找到。
下載鏈接:
https://research.checkpoint.com/wp-content/uploads/2019/06/NonDecryptor.zip
Check Point最后指出,勒索軟件仍然是網(wǎng)絡犯罪分子的穩(wěn)定收入來源。