微信公眾號:Antiylab

0x00 概述

---

安天CERT（安全研究與應急處理中心）近期收到大量使用者反饋，稱其收到帶有可疑附件的郵件，經過安天CERT研究人員分析發現，這是一類利用垃圾郵件進行傳播和下載的木馬家族Dyreza的變種，其目的是竊取銀行賬號和比特幣。該變種透過Upatre下載者進行下載，下載Dyreza變種的伺服器均為路由器。攻擊者將入侵的路由器作為Dyreza變種的傳播伺服器，在路由器中存放的檔案均為加密檔案。此外，該變種還具有反虛擬機器功能。在分析過程中，安天CERT研究人員發現大量的路由器被植入了Dyreza的最新變種。

0x01 事件樣本分析

---

1.1 傳播過程

圖1 Dyreza木馬的傳播過程

不法分子首先利用弱口令等方法入侵網際網路中的路由器，在路由器中存放載入的惡意程式碼程式，這些惡意程式碼程式的字尾名包括： .AVI、.ZIP、.TAR、.RAR、.PNG、.PDF；然後透過散佈帶有社會工程學性質的垃圾郵件，誘使使用者執行附件中的Upatre下載者；Upatre下載者連線被入侵的路由器，下載路由器中存放的加密的惡意程式碼程式，在使用者系統中解密後得到Dyreza木馬。

1.2 樣本標籤

本次事件中，Upatre下載者負責下載竊取銀行賬號和比特幣的Dyreza木馬程式。Upatre下載者主要透過電子郵件進行傳播，目前以Upatre家族為載體的木馬家族有Zeus、Rovnix、Dyreza、勒索軟體和殭屍網路等。

1.3 Upatre樣本分析

1. 樣本使用了多層混淆技術來阻止反病毒工程師對其進行分析。Upatre執行後，首先建立程式svchost.exe，並將自身程式碼注入到svchost.exe程式中執行，同時結束自身程式；透過ZwQueryInformationProcess函式檢測自身是否在偵錯程式下執行；最後透過ZwResumeThread函式恢復執行緒啟用。

圖2 將自身程式碼注入到建立的svchost.exe程式中

1. 透過HTTPS進行下載，如下載失敗會迴圈下載其它路由器的IP地址進行下載，直到下載成功。

圖3 下載加密的惡意程式碼檔案

1. 目前安天CERT研究人員發現透過路由器IP地址下載的檔案均為加密的Dyreza變種。其檔案字尾名如下：

經安天CERT研究人員測試發現在同一個路由器上存在多個加密檔案。其中某路由器上存放著99個加密惡意程式碼，檔名列表如下：

放置加密惡意程式碼的路由器登陸介面：

圖4 放置加密惡意程式碼的路由器連線介面

1. 在下圖，全球被入侵路由器的IP地址的地理位置中，排在前三位的分別是：美國、波蘭、烏克蘭；其中歐洲國家較多。

圖5 存放加密惡意程式碼的路由器的IP地址分佈

1. Upatre下載者將加密檔案下載到本地後進行解密

圖6 解密程式碼

首先略過加密檔案頭部的4個位元組，然後每次取出4個位元組與Key進行異或，每次運算後Key減1。依此迴圈進行解密，直至解密完成，解密後的檔案是一個可執行的PE檔案，即Dyreza木馬。

0x02 Dyreza家族變種分析

---

2.1 樣本標籤

Dyreza家族非常類似於臭名昭著的Zeus殭屍網路，它們都是利用瀏覽器中間人攻擊，當被感染的使用者訪問特定的網站（這類網站通常為金融機構或金融服務的登入頁面），則會注入惡意Javascript程式碼來進行捕獲使用者所輸入的賬號密碼等資訊。Dyreza家族新變種的主要功能是竊取使用者銀行賬號和比特幣。

2.2 Dyreza家族變種分析

1. 反虛擬機器功能：

2006年英特爾釋出雙核處理器後，現今市場及使用者電腦中已經很難見到單核處理器了。而自動化分析平臺為節省資源，常常將虛擬機器的處理器設定為單核處理器。Dyreza家族的新變種正是利用這種情況，對感染系統的處理器個數進行判斷，如果少於2個，則樣本直接退出。該判斷在樣本中出現多次，在後面核心的DLL模組中，也存在此功能。

圖7 判斷處理器是否為單核CPU

1. 資源解密： 樣本帶有多個資原始檔，將這些資源讀取到記憶體後，根據內建的一個100位元組的shellcode表來進行解密操作，得到核心的DLL功能模組。

圖8 解密資原始檔

1. 建立虛假的google升級服務：

圖9 建立虛假的google升級服務

4.使用任務計劃執行程式，每分鐘執行一次：

圖10 每分鐘執行一次自身

1. 在核心模組中，使用了跨平臺的檔案加密庫bcrypt，將獲取的本地資訊進行加密操作。

圖11 使用的加密函式

1. Dyreza家族具有遠端控制使用者系統的功能，使用POST和GET方式與遠端伺服器進行通訊。

圖12 使用POST和GET方式進行通訊

1. Dyreza家族的新變種可以在被感染的系統中新增一個管理員賬號和密碼，賬號名為“lname0”,密碼為“1qazxsw2”。透過本地登陸驗證是否新增成功。

圖13 建立管理員賬號和密碼

0x03 路由器防護建議

---

Dyreza家族木馬透過入侵路由器的方式進行傳播，惡意程式放置在路由器中很難被使用者發現，而反病毒產品通常無法直接掃描路由器。因此，安天CERT建議使用者使用以下幾種路由器防護措施：

不要使用路由器預設的口令，修改為高強度的口令。

定期更新路由器韌體，修復已出現的安全漏洞。

關閉SSID廣播，防止SSID被嗅探。

使用安全性較高的WPA2協議、AES加密演算法。

禁用DHCP，開啟MAC地址過濾，僅允許繫結的MAC地址訪問無線網路。

0x04 總結

---

Dyreza家族以竊取使用者銀行賬號和比特幣為目的，以利用入侵的路由器進行傳播為特點，應引起使用者和企業的關注。在此之前，2014年4月份的CVE-2014-0160（心臟出血）漏洞即可入侵大量的路由器裝置。安天CERT判定，Dyreza家族與Rovnix家族有著必然的聯絡，它們使用相同的Upatre下載者進行傳播，並使用相似的下載地址。在本報告發布前，安天又捕獲到一個更新的Dyreza變種，在傳播方式上，它使用與Rovnix攻擊平臺[g1]相似的下載地址，都使用WordPress搭建的網站，或入侵由WordPress搭建的第三方正常網站。繼HaveX首次使用這種傳播方式後，這已成為安天CERT發現的第三個使用這種傳播方式的家族了。安天CERT會繼續跟蹤使用這種方式傳播的惡意程式碼，並持續關注HaveX、Rovnix、Dyreza這三個家族。

[g1 http://www.antiy.com/response/ROVNIX.html

博文地址