攻防最前线：银行木马DanaBot新增散布垃圾邮件功能

新的研究显示，DanaBot似乎已经超越了银行木马的范畴。根据网络安全公司ESET的研究，它的运营商最近一直在测试电子邮箱地址收集和垃圾邮件发送功能，能够滥用现有受害者的Webmail帐户来进一步传播恶意软件。

除了这些新特征之外，ESET还发现了DanaBot运营商一直在与GootKit背后的犯罪团伙合作的证据。GootKit是另一种高级木马，一直被认为是某个独立犯罪团伙的私有工具。

使用受害者邮箱发送垃圾邮件

2018年9月份， DanaBot 在欧洲的活动开始激增。在分析将几个意大利Webmail服务用户作为攻击目标的样本中，DanaBot的一些新功能引起了ESET的注意。

根据ESET的研究，注入目标Webmail服务页面的JavaScript可以分为两个主要特征：

1.DanaBot从现有受害者的邮箱中收集电子邮箱地址。这是通过在受害者登录后将恶意脚本注入目标Webmail服务的网页、分析受害者的电子邮件，并将其找到的所有电子邮箱地址发送到C＆C服务器来实现的。

图1.DanaBot收集电子邮箱地址

2.如果目标Webmail服务基于Open-Xchange套件（如流行的意大利Webmail服务libero.it），DanaBot还会注入另一个脚本，该脚本能够使用受害者的邮箱隐秘地将垃圾邮件发送给收集到的电子邮箱地址。

恶意电子邮件将作为对现有受害者邮箱中电子邮件的回复发送，使其看起来像是邮箱所有者发送的。此外，通过这种方式发送的恶意电子邮件将具有有效的数字签名。

值得注意的是，攻击者似乎对包含子字符串“pec”的电子邮箱地址特别感兴趣。这里需要指出的是，pec是posta elettronica certificatad的简称，是意大利使用的一种电子邮箱认证服务。这可能表明，DanaBot的开发者主要关注是使用该认证服务的企业和公共管理机构。

这些电子邮件会被添加上从C＆C服务器下载的ZIP附件，其中包含一份诱饵PDF文件和一个恶意VBS文件。执行这个VBS文件，会导致一个PowerShell命令的执行，以下载用于后续攻击的其他恶意软件。

图2.用于从C＆C服务器下载恶意ZIP文件的代码

图3.用于创建电子邮件及添加恶意ZIP附件的代码

图4.包含恶意ZIP附件的垃圾邮件样本，来自最近针对意大利的攻击活动（样本来源：VirusTotal）

图5. ZIP附件所包含的内容

在撰写本文时，具备上述恶意特征的DanaBot仅在意大利被发现，目标服务在本文的最后列出。

DanaBot和GootKit之间的关联

在分析了DanaBot C＆C服务器上可用的恶意VBS文件之后，ESET发现它指向了一个GootKit的downloader模块。GootKit是一种高级隐形木马，主要被用于银行欺诈攻击。恶意VBS文件似乎是自动生成的，并且在每次访问时都不同。

值得注意的是，这是ESET首次观察到DanaBot分发其他恶意软件。到目前为止，DanaBot仍被认为是某个独立犯罪团伙的私有工具。而这种情况对于GootKit来说也是首次出现，因为GootKit也被认为某个独立犯罪团伙的私有工具，并没有在地下论坛上出售。有意思的是，ESET在最近还观察到了另一起GootKit被其他恶意软件分发的案例，即最近旨在传播Emotet木马的 “黑色星期五和网络星期一”垃圾邮件活动 。

除了在DanaBot C＆C服务器上存在GootKit之外，ESET还发现了进一步的证据，能够证明DanaBot和GootKit的运营商之间正在进行合作。

首先，ESET的遥测显示，在GootKit活动中使用的C＆C服务器子网和顶级域名（TLD），同样也被DanaBot所使用。在176.119.1.0/24子网中，DanaBot使用了许多IP地址来充当C＆C服务器以及用于重定向。虽然DanaBot域名每隔几天就会发生变化，但.co仍是最常见的TLD（例如，egnacios[.]co、kimshome[.]co等）。

其次，DanaBot和GootKit所使用的.co域名通常都注册于相同的域名注册商，即Todaynic.com, Inc，并且大多数都共享同一服务，即dnspod.com。

最后，在2018年10月29日开始的那一周里，ESET的遥测显示，DanaBot在波兰的活动显著减少，而在同一周，GootKit在波兰的活动明显增加。在这期间，GootKit在波兰的活动中使用了与DanaBot相同的方式进行传播。

图6.2018年10月8日至11月8日期间，DanaBot和GootKit在波兰的活动

与其他恶意软件家族的关联

在分析DanaBot时，ESET还注意到，DanaBot配置的一部分具有ESET之前在其他恶意软件家族中看到过的结构，例如Tinba或Zeus。这允许DanaBot的开发者使用类似的Web注入脚本，甚至重用第三方脚本。

值得注意的是，有一些脚本与 BackSwap木马 所使用的脚本几乎完全相同，包括命名规则和脚本在服务器上的位置。

图7.BackSwap（左）和DanaBot（右）所使用脚本的对比。差异以橙色标记

总结

ESET的研究表明，与典型的银行木马相比，DanaBot目前的功能要更加丰富。其运营商会定期为它添加新的功能，测试新的分发载体，并可能正在与其他网络犯罪团伙进行合作。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。