7月27日讯 2017年7月,安全研究人员发现新型Ursnif银行木马利用巧妙的技术规避沙盒环境和自动化虚拟机,并根据鼠标移动检测真实用户是否在与计算机交互。
它的总体思路是检测鼠标光标的位置是否会移动,因为在安全测试与恶意软件分析环境中,鼠标光标在整个扫描和分析过程中会停留在同一位置。
Ursnif惯用技巧
Ursnif银行木马已经成为新恶意软件技术的滋生土壤。2016年夏天,Ursnif一直使用Tor匿名网络隐藏命令与控制服务器(C&C Server)。Ursnif 在此期间还测试并部署了其它创新反检测和虚拟机规避技术。以下是Ursif去年部署的技巧:
检查文件名
提交用于分析的文件通常被重命名为它们的MD5或SHA256哈希值,且仅使用十六进制字符——0123456789ABCDEFabcdef。如果Ursnif发现本地文件包含字母、数字、字符,例如t、R或#,它便知道自己在普通PC上运行。
检查本地PC的图形界面应用程序
虚拟机运行少量进程,以及非常少的图形界面进程。如果Ursnif样本发现进程数少于50个,便会停止执行,并思考自己是否在虚拟机内。
检查用户的IP地址
Ursnif会获取计算机的IP地址,并将其与安全公司或数据中心(研究人员租赁虚拟机的地方)分配的IP地址列表对照。
检查最近打开的文件
Ursnif会检查最近打开的文件数量。虚拟机上最近打卡的文件数量通常很少,因为没有用户使用该系统执行常规任务。
这些只是Ursnif去年部署的其中一些技巧。
通过三个嵌入式DLL文件进行部署
网络安全公司Forcepoint分析了Ursnif最近一起活动后发现,新版Ursnif今年4月开始使用鼠标移动检测技术。受害者会接收携带密码保护ZIP文件的垃圾电子邮件。解压此文件的受害者会看到三个Word文档。Word文档包含相同的恶意宏脚本。攻击者使用三个文件提高用户打开并遭遇感染的几率。
如果允许运行宏,Word文档会下载一个DLL文件,该文件会解压成另一个DLL文件,之后解压到第三个安装银行木马的DLL文件。
鼠标移动轨迹不仅可以用来检测是否存在真实操作用户或虚拟机,还能被用来暴力破解第二个DLL文件中的加密密钥,并用来获取第三个DLL文件。总之,Ursnif攻击者惯用这种高超 的技巧。
Ursnif 无意获取银行登录凭证
该版Ursnif最不寻常的部分在于,它重点提取Mozilla Thunderbird电子邮件客户端的联系人和密码,而非专注于窃取特定银行的登录凭证。
Forcepoint研究人员约吉高表示,该样本使用Thunderbird相关功能的原因尚不清楚,这可能是Ursnif攻击者首次尝试此类活动,这可能意味着Ursnif会在今后的版本中涉及更多电子邮件客户端或应用程序。
(责任编辑:宋编辑)