查看原文
其他

新型Ursnif银行木马:添加鼠标移动反检测技术

2017-07-27 E安全编辑部 E安全

E安全7月27日讯 2017年7月,安全研究人员发现新型Ursnif银行木马利用巧妙的技术规避沙盒环境和自动化虚拟机,并根据鼠标移动检测真实用户是否在与计算机交互。

它的总体思路是检测鼠标光标的位置是否会移动,因为在安全测试与恶意软件分析环境中,鼠标光标在整个扫描和分析过程中会停留在同一位置。

Ursnif惯用技巧

Ursnif银行木马已经成为新恶意软件技术的滋生土壤。2016年夏天,Ursnif一直使用Tor匿名网络隐藏命令与控制服务器(C&C Server)。Ursnif 在此期间还测试并部署了其它创新反检测和虚拟机规避技术。以下是Ursif去年部署的技巧:

检查文件名


提交用于分析的文件通常被重命名为它们的MD5或SHA256哈希值,且仅使用十六进制字符——0123456789ABCDEFabcdef。如果Ursnif发现本地文件包含字母、数字、字符,例如t、R或#,它便知道自己在普通PC上运行。

检查本地PC的图形界面应用程序


虚拟机运行少量进程,以及非常少的图形界面进程。如果Ursnif样本发现进程数少于50个,便会停止执行,并思考自己是否在虚拟机内。

检查用户的IP地址


Ursnif会获取计算机的IP地址,并将其与安全公司或数据中心(研究人员租赁虚拟机的地方)分配的IP地址列表对照。

检查最近打开的文件


Ursnif会检查最近打开的文件数量。虚拟机上最近打卡的文件数量通常很少,因为没有用户使用该系统执行常规任务。

这些只是Ursnif去年部署的其中一些技巧。

通过三个嵌入式DLL文件进行部署

网络安全公司Forcepoint分析了Ursnif最近一起活动后发现,新版Ursnif今年4月开始使用鼠标移动检测技术。受害者会接收携带密码保护ZIP文件的垃圾电子邮件。解压此文件的受害者会看到三个Word文档。Word文档包含相同的恶意宏脚本。攻击者使用三个文件提高用户打开并遭遇感染的几率。


如果允许运行宏,Word文档会下载一个DLL文件,该文件会解压成另一个DLL文件,之后解压到第三个安装银行木马的DLL文件。

鼠标移动轨迹不仅可以用来检测是否存在真实操作用户或虚拟机,还能被用来暴力破解第二个DLL文件中的加密密钥,并用来获取第三个DLL文件。总之,Ursnif攻击者惯用这种高超 的技巧。

Ursnif 无意获取银行登录凭证


该版Ursnif最不寻常的部分在于,它重点提取Mozilla Thunderbird电子邮件客户端的联系人和密码,而非专注于窃取特定银行的登录凭证。

Forcepoint研究人员约吉高表示,该样本使用Thunderbird相关功能的原因尚不清楚,这可能是Ursnif攻击者首次尝试此类活动,这可能意味着Ursnif会在今后的版本中涉及更多电子邮件客户端或应用程序。

27
E安全推荐文章

官网:www.easyaq.com

2017年7月


01TrickBot银行木马再度来袭 这次将影响24个国家
02黑客利用木马盗窃日本多家银行超过2580万美元, 日本发布全国安全警告
03新型安卓木马伪装成Flash手机端 将窃取用户银行帐密
04神秘木马Felismus初现身 幕后黑手谜云重重
052017年最牛安卓木马Switcher来袭 伪装成百度客户端和WIFI万能钥匙
06新型木马“Odinaff”与Carbanak犯罪团伙有关
07新型Mac OS X木马“Komplex”专攻航天航空工业 或与APT组织“Sofacy”有关


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存