安全動態(tài)

DanaBot升級!勒索軟件豐富武器庫

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-06-23    瀏覽次數(shù):
 

信息來源:mottoin

Check PointDE 安全研究人員在最近一次活動中發(fā)現(xiàn)了DanaBot木馬的新樣本,其顯示該木馬背后的運營者現(xiàn)已在其代碼中加入了勒索軟件組件,以及新的字符串加密和通信協(xié)議。

DanaBot木馬

2018年P(guān)roofpoint的研究人員首次報道了關(guān)于DanaBot的早期版本,當時它被認為是一種新穎的銀行木馬,通過包含惡意URL的電子郵件針對澳大利亞和加拿大客戶的網(wǎng)絡(luò)釣魚發(fā)起攻擊,其包含網(wǎng)絡(luò)注入和竊取器功能。

這些釣魚郵件使用了“核對收費帳單”的主題,如果用戶點開了Word附件里的網(wǎng)址,那就會被重定向到其他網(wǎng)站上,比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc。

2018年5月6日DanaBot活動的電子郵件樣本

該木馬具有以下功能:


  • 竊取瀏覽器和FTP客戶端憑據(jù);
  • 收集加密錢包憑據(jù);
  • 在受感染的計算機上運行代理;
  • 執(zhí)行Zeus風格的網(wǎng)絡(luò)注入;
  • 截取屏幕截圖和錄制視頻;
  • 通過RDP或VNC提供遠程控制;
  • 通過TOR請求更新;
  • 使用WUSA漏洞繞過UAC;
  • 從C&C服務(wù)器請求更新并執(zhí)行命令。


根據(jù)Check Point的說法,自首次亮相以來,DanaBot的活動范圍已遍布澳大利亞、新西蘭、美國和加拿大,最近的DanaBot活動已經(jīng)蔓延至歐洲。

針對不同國家的活動

DanaBot木馬重大升級

Check Point研究人員周四發(fā)布文章表示,此次更新是DanaBot木馬的重大升級。然而,研究人員還報告說,他們已經(jīng)設(shè)計出一種可能的方法來恢復(fù)由新添加的DanaBot勒索軟件組件加密的文件。


“近一年來,DanaBot一直在擴展其功能并演變成更復(fù)雜的威脅,”Check Point研究人員Yaroslav Harakhavik和Aliaksandr Chailytko在對該木馬最新組件的描述中寫道,“我們認為背后的運營者還將繼續(xù)更多升級?!?


Check Point在今年5月發(fā)現(xiàn)DanaBot木馬中添加了勒索軟件組件。樣本表明運營商已經(jīng)增添了NonRansomware的某個變種。根據(jù)Check Point的說法,NonRansomware勒索軟件會掃描本地驅(qū)動器上的文件并加密除Windows目錄之外的所有文件。被加密文件的擴展名為.non,而勒索通知(HowToBackFiles.txt)被放置在每個包含加密文件的目錄中(AES128)。


DanaBot現(xiàn)在正在部署包含以Delphi編程語言編寫的勒索軟件的可執(zhí)行文件。其他功能包括竊取瀏覽器憑據(jù)、運行本地代理以操縱Web流量,以及在目標系統(tǒng)上啟動遠程桌面控制。

該木馬最初的感染手段仍然是網(wǎng)絡(luò)犯罪分子常用的網(wǎng)絡(luò)釣魚攻擊。攻擊者發(fā)送信息誘使收件人下載VBS腳本的附件,該腳本用作DanaBot的部署器。今年1月,DanaBot下載器改變了它的通信協(xié)議,用AES256加密進行混淆。ESET詳細介紹了新的通信協(xié)議。AES256代表高級加密標準,在此環(huán)境下允許運營者隱藏其客戶端與攻擊者操作的C2服務(wù)器之間的通信。

已有加密恢復(fù)工具

Check Point能夠設(shè)計一種方法來恢復(fù)被加密的文件,具體方法是使用已知的受害者ID,使用密碼暴力強制調(diào)用所有加密文件的DecodeFile函數(shù)。用于文件解密的工具可以在其發(fā)布的DanaBot報告中找到。

下載鏈接:

https://research.checkpoint.com/wp-content/uploads/2019/06/NonDecryptor.zip

Check Point最后指出,勒索軟件仍然是網(wǎng)絡(luò)犯罪分子的穩(wěn)定收入來源。

 
 

上一篇:SSH加入抵御邊信道攻擊的功能

下一篇:2019年06月23日 聚銘安全速遞