ca1218

ca1218
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
从*.BAT到银行钓鱼页面 Alpha_h4ck2017-12-27共198855人围观 ，发现 2 个不明物体 WEB安全
如果你以为使用BAT文件来进行攻击有点过时了，那我得请你想好再说了。在监控我们的安全邮件网关云服务时，我们发现了多个针对巴西用户的可疑的垃圾邮件。接下来，我们就给大家分析一下这个使用BAT文件来实施攻击的巴西恶意软件样本。

下图显示的就是我们所捕捉到的垃圾邮件信息，它们会诱使目标用户去打开邮件中的附件:

1.png

邮件主题中写的“paulistana”意思是“来源于哪里”，而加上目标用户的名字之后会让邮件的可信度更高。下面给出的是邮件内容：

邮件主题：附件为São Paulo的财务记录，N – 7632630091
邮件内容：附件为我们提供服务的发票…
附件：Nota Fiscal - Pauline City Hall.zip
附件是一个ZIP压缩文档，其中包含了一个批处理文件，它使用了UTF-16编码。当我们使用文本编辑器打开这个文件之后，我们发现了很多中文繁体字符（乱码）：

2.png

0xFEFF的字节顺序标记（BOM）出现在文件的开始部分（标记Unicode文本流的开始），其中包含了隐藏的批处理文件代码。下面给出的是我们使用十六进制编辑器打开后所看到的内容：

3.png

在对批处理文件进行了深入分析之后，我们发现了如下所示的恶意行为：

1. 在初始化过程中，它会在目标主机中创建目录C:\{随机目录名称}；

4.png

2. 使用PowerShell命令，并下载一个PowerShell脚本以及PShellExec.exe；

5.png

3. 通过使用PShellExec.exe，它首先会对下载下来的PowerShell脚本进行加密，然后删除原始脚本，并运行加密后的脚本；

6.png

4. 最后，它会创建一个VBScript脚本，并执行加密后的PowerShell脚本。为了实现持久化感染，它还会在目标系统的启动目录STARTUP文件夹中创建一个符号链接；

7.png

分析PowerShell脚本
乍看之下，这个脚本貌似参考的是Matthew Graeber之前所开发的PowerShell脚本，即PowerSyringe，一个基于PowerShell的代码/DLL注入模块。不过攻击者在PowerSyringe的基础上还添加了下列代码：

1. 生成了随机字符，并将其用于目录创建；

8.png

2. 判断目标操作系统是32位还是64位的，并下载相应的DLL文件；

9.png

Base64解码后的链接：

hxxp://panel-anonimato.cf/TMP/Dexter/Arquiteto.64.dll
hxxp://panel-anonimato.cf/TMP/Dexter/Arquiteto.dll
3. 使用PowerSyringe模块，向svchost.exe注入恶意DLL；

10.png

注入恶意DLL
当木马成功地将恶意DLL注入到svchost.exe进程中之后，它将会开始监控目标用户的活动，并查看他们是否会访问巴西银行的网站。当用户访问了其中一个银行的网站之后，它将会用伪造的页面和表单来覆盖掉用户的访问界面。这样一来，攻击者就能够获取到目标用户输入的账户名以及密码了。

下面是攻击者在覆盖屏幕时所使用的伪造银行主页以及表单：
1. Banrisul

11.png

2. ItaúUnibanco

12.png

3. Bancodo Nordeste

13.png

4. BancoSantander

14.png

5. Sicoob

15.png

6. Sicredi

16.png

入侵威胁指标IoC
Nota-Fiscal- Prefeitura Paulistana.bat – 邮件附件

MD5:70EA097616DFC8D4AE8B8AD4BDB1CD96
SHA1:E830EC9F194BF72740D9AB62B633E0862E18A143
Ma{username}.vbs– 批处理文件创建的内容

MD5:7FDD656E476FC4AEFF19609FD14FB070
SHA1:451515709EEE19D680A622753CB6802056ED84A5
1.ps1– 下载的脚本

MD5:BA0239533DD7F85CB0D1DF58FC129222
SHA1:7366B78713808D4A23C9FC8B141D1DF1C2FB1FED
{random}.ps1.bin– 编码后的1.ps1

MD5:BAFAEBF21A288826525BA0703EFC384B
SHA1:A4049F8FE337D148B25DD60AA7F1BF9E783538DD
PShellExec.exe– 下载的可执行文件

MD5:B34B92270968DB55AB07633C11AD0883
SHA1:EF2AB66243F385559792ED6360D4A5C0D435C328
Arquiteto.64.dll– 下载的dll文件，针对x64设备

MD5:ED053046882301A893DDA1171D62DD50
SHA1:0A1731A6D594C908866A9A317DE9AAA1BADD3AB1
Arquiteto.dll- 下载的dll文件，针对x86设备

MD5:E94EA2673908D605F08C6A6D666DC97E
SHA1:836C0521DF76EDF48447CA1218DFBF3725010F51
* 参考来源：trustwave，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM

Alpha_h4ck
Alpha_h4ck
578 篇文章
等级： 10级
||
上一篇：看不见的攻击面：查看SQLite数据库就中招？下一篇：我是如何利用CSRF Get DedeCms Shell的
发表评论已有 2 条评论

TedZhang 2017-12-27回复 1楼
前来参观学习

亮了(0)

langziguang (1级) 2017-12-27回复 2楼
腻害

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Alpha_h4ck
Alpha_h4ck

好好学习，天天向上

578
文章数
5
评论数
最近文章
Slither：第一款针对Solidity的静态分析框架
2018.11.18

BYOB：我的天！又一个僵尸网络开源了BYOB僵尸网络开源代码
2018.11.18

BlobRunner：一款功能强大的恶意软件Shellcode调试与分析工具
2018.11.16

浏览更多
相关阅读
利用showModalDialog绕过IE的XSS过滤BackTrack5 R3小笔记我是如何发现一枚Cisco XSS（跨站脚本）漏洞的Game-of-Thrones-CTF-1.0靶机实战演练高级钓鱼攻击来了：针对拍拍的XSS攻击
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank