新闻快讯
< >

新型Ursnif银行木马:添加鼠标移动反检测技术

E安全7月27日讯 2017年7月,安全研究人员发现新型Ursnif银行木马利用巧妙的技术规避沙盒环境和自动化虚拟机,并根据鼠标移动检测真实用户是否在与计算机交互。

它的总体思路是检测鼠标光标的位置是否会移动,因为在安全测试与恶意软件分析环境中,鼠标光标在整个扫描和分析过程中会停留在同一位置。

新型Ursnif银行木马:添加鼠标移动反检测技术-E安全

Ursnif惯用技巧

Ursnif银行木马已经成为新恶意软件技术的滋生土壤。2016年夏天,Ursnif一直使用Tor匿名网络隐藏命令与控制服务器(C&C Server)。Ursnif 在此期间还测试并部署了其它创新反检测和虚拟机规避技术。以下是Ursif去年部署的技巧:

检查文件名

提交用于分析的文件通常被重命名为它们的MD5或SHA256哈希值,且仅使用十六进制字符——0123456789ABCDEFabcdef。如果Ursnif发现本地文件包含字母、数字、字符,例如t、R或#,它便知道自己在普通PC上运行。

检查本地PC的图形界面应用程序

虚拟机运行少量进程,以及非常少的图形界面进程。如果Ursnif样本发现进程数少于50个,便会停止执行,并思考自己是否在虚拟机内。

检查用户的IP地址

Ursnif会获取计算机的IP地址,并将其与安全公司或数据中心(研究人员租赁虚拟机的地方)分配的IP地址列表对照。

检查最近打开的文件

Ursnif会检查最近打开的文件数量。虚拟机上最近打卡的文件数量通常很少,因为没有用户使用该系统执行常规任务。

这些只是Ursnif去年部署的其中一些技巧。

通过三个嵌入式DLL文件进行部署

网络安全公司Forcepoint分析了Ursnif最近一起活动后发现,新版Ursnif今年4月开始使用鼠标移动检测技术。受害者会接收携带密码保护ZIP文件的垃圾电子邮件。解压此文件的受害者会看到三个Word文档。Word文档包含相同的恶意宏脚本。攻击者使用三个文件提高用户打开并遭遇感染的几率。

如果允许运行宏,Word文档会下载一个DLL文件,该文件会解压成另一个DLL文件,之后解压到第三个安装银行木马的DLL文件。

鼠标移动轨迹不仅可以用来检测是否存在真实操作用户或虚拟机,还能被用来暴力破解第二个DLL文件中的加密密钥,并用来获取第三个DLL文件。总之,Ursnif攻击者惯用这种高超 的技巧。

Ursnif 无意获取银行登录凭证

该版Ursnif最不寻常的部分在于,它重点提取Mozilla Thunderbird电子邮件客户端的联系人和密码,而非专注于窃取特定银行的登录凭证。

Forcepoint研究人员约吉高表示,该样本使用Thunderbird相关功能的原因尚不清楚,这可能是Ursnif攻击者首次尝试此类活动,这可能意味着Ursnif会在今后的版本中涉及更多电子邮件客户端或应用程序。

相关阅读:

银行小心!TrickBot银行木马新一轮攻击或瞄准24国银行
黑客利用俄国服务器对美国银行客户发动钓鱼攻击
网络钓鱼热门趋势:中国的银行成为主要攻击目标
关于“暗云”木马程序的威胁信息共享通报
手机银行木马BankBot再战江湖 可绕过谷歌安全审查机制

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。