【安天CERT】利用路由器傳播的DYREZA家族變種分析

wyzsk發表於2020-08-19
作者: SwordLea · 2015/09/01 19:30

微信公眾號:Antiylab

0x00 概述


安天CERT(安全研究與應急處理中心)近期收到大量使用者反饋,稱其收到帶有可疑附件的郵件,經過安天CERT研究人員分析發現,這是一類利用垃圾郵件進行傳播和下載的木馬家族Dyreza的變種,其目的是竊取銀行賬號和比特幣。該變種透過Upatre下載者進行下載,下載Dyreza變種的伺服器均為路由器。攻擊者將入侵的路由器作為Dyreza變種的傳播伺服器,在路由器中存放的檔案均為加密檔案。此外,該變種還具有反虛擬機器功能。在分析過程中,安天CERT研究人員發現大量的路由器被植入了Dyreza的最新變種。

0x01 事件樣本分析


1.1 傳播過程

enter image description here

圖1 Dyreza木馬的傳播過程

不法分子首先利用弱口令等方法入侵網際網路中的路由器,在路由器中存放載入的惡意程式碼程式,這些惡意程式碼程式的字尾名包括: .AVI、.ZIP、.TAR、.RAR、.PNG、.PDF;然後透過散佈帶有社會工程學性質的垃圾郵件,誘使使用者執行附件中的Upatre下載者;Upatre下載者連線被入侵的路由器,下載路由器中存放的加密的惡意程式碼程式,在使用者系統中解密後得到Dyreza木馬。

1.2 樣本標籤

enter image description here

本次事件中,Upatre下載者負責下載竊取銀行賬號和比特幣的Dyreza木馬程式。Upatre下載者主要透過電子郵件進行傳播,目前以Upatre家族為載體的木馬家族有Zeus、Rovnix、Dyreza、勒索軟體和殭屍網路等。

1.3 Upatre樣本分析

  1. 樣本使用了多層混淆技術來阻止反病毒工程師對其進行分析。Upatre執行後,首先建立程式svchost.exe,並將自身程式碼注入到svchost.exe程式中執行,同時結束自身程式;透過ZwQueryInformationProcess函式檢測自身是否在偵錯程式下執行;最後透過ZwResumeThread函式恢復執行緒啟用。

enter image description here

圖2 將自身程式碼注入到建立的svchost.exe程式中

  1. 透過HTTPS進行下載,如下載失敗會迴圈下載其它路由器的IP地址進行下載,直到下載成功。

enter image description here

圖3 下載加密的惡意程式碼檔案

  1. 目前安天CERT研究人員發現透過路由器IP地址下載的檔案均為加密的Dyreza變種。其檔案字尾名如下:

enter image description here

經安天CERT研究人員測試發現在同一個路由器上存在多個加密檔案。其中某路由器上存放著99個加密惡意程式碼,檔名列表如下:

enter image description here

放置加密惡意程式碼的路由器登陸介面:

enter image description here

圖4 放置加密惡意程式碼的路由器連線介面

  1. 在下圖,全球被入侵路由器的IP地址的地理位置中,排在前三位的分別是:美國、波蘭、烏克蘭;其中歐洲國家較多。

enter image description here

圖5 存放加密惡意程式碼的路由器的IP地址分佈

  1. Upatre下載者將加密檔案下載到本地後進行解密

enter image description here

圖6 解密程式碼

首先略過加密檔案頭部的4個位元組,然後每次取出4個位元組與Key進行異或,每次運算後Key減1。依此迴圈進行解密,直至解密完成,解密後的檔案是一個可執行的PE檔案,即Dyreza木馬。

0x02 Dyreza家族變種分析


2.1 樣本標籤

enter image description here

Dyreza家族非常類似於臭名昭著的Zeus殭屍網路,它們都是利用瀏覽器中間人攻擊,當被感染的使用者訪問特定的網站(這類網站通常為金融機構或金融服務的登入頁面),則會注入惡意Javascript程式碼來進行捕獲使用者所輸入的賬號密碼等資訊。Dyreza家族新變種的主要功能是竊取使用者銀行賬號和比特幣。

2.2 Dyreza家族變種分析

  1. 反虛擬機器功能:

2006年英特爾釋出雙核處理器後,現今市場及使用者電腦中已經很難見到單核處理器了。而自動化分析平臺為節省資源,常常將虛擬機器的處理器設定為單核處理器。Dyreza家族的新變種正是利用這種情況,對感染系統的處理器個數進行判斷,如果少於2個,則樣本直接退出。該判斷在樣本中出現多次,在後面核心的DLL模組中,也存在此功能。

enter image description here

圖7 判斷處理器是否為單核CPU

  1. 資源解密: 樣本帶有多個資原始檔,將這些資源讀取到記憶體後,根據內建的一個100位元組的shellcode表來進行解密操作,得到核心的DLL功能模組。

enter image description here

圖8 解密資原始檔

  1. 建立虛假的google升級服務:

enter image description here

圖9 建立虛假的google升級服務

4.使用任務計劃執行程式,每分鐘執行一次:

enter image description here

圖10 每分鐘執行一次自身

  1. 在核心模組中,使用了跨平臺的檔案加密庫bcrypt,將獲取的本地資訊進行加密操作。

enter image description here

圖11 使用的加密函式

  1. Dyreza家族具有遠端控制使用者系統的功能,使用POST和GET方式與遠端伺服器進行通訊。

enter image description here

圖12 使用POST和GET方式進行通訊

  1. Dyreza家族的新變種可以在被感染的系統中新增一個管理員賬號和密碼,賬號名為“lname0”,密碼為“1qazxsw2”。透過本地登陸驗證是否新增成功。

enter image description here

圖13 建立管理員賬號和密碼

0x03 路由器防護建議


Dyreza家族木馬透過入侵路由器的方式進行傳播,惡意程式放置在路由器中很難被使用者發現,而反病毒產品通常無法直接掃描路由器。因此,安天CERT建議使用者使用以下幾種路由器防護措施:

不要使用路由器預設的口令,修改為高強度的口令。

定期更新路由器韌體,修復已出現的安全漏洞。

關閉SSID廣播,防止SSID被嗅探。

使用安全性較高的WPA2協議、AES加密演算法。

禁用DHCP,開啟MAC地址過濾,僅允許繫結的MAC地址訪問無線網路。

0x04 總結


Dyreza家族以竊取使用者銀行賬號和比特幣為目的,以利用入侵的路由器進行傳播為特點,應引起使用者和企業的關注。在此之前,2014年4月份的CVE-2014-0160(心臟出血)漏洞即可入侵大量的路由器裝置。安天CERT判定,Dyreza家族與Rovnix家族有著必然的聯絡,它們使用相同的Upatre下載者進行傳播,並使用相似的下載地址。在本報告發布前,安天又捕獲到一個更新的Dyreza變種,在傳播方式上,它使用與Rovnix攻擊平臺[g1]相似的下載地址,都使用WordPress搭建的網站,或入侵由WordPress搭建的第三方正常網站。繼HaveX首次使用這種傳播方式後,這已成為安天CERT發現的第三個使用這種傳播方式的家族了。安天CERT會繼續跟蹤使用這種方式傳播的惡意程式碼,並持續關注HaveX、Rovnix、Dyreza這三個家族。

[g1 http://www.antiy.com/response/ROVNIX.html

博文地址

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章