导语:研究人员发现了第三种通过“EternalBlue”(永恒之蓝)进行传播的银行木马。
近日,据外媒报道称,研究人员发现了第三种通过“EternalBlue”(永恒之蓝)进行传播的银行木马。EternalBlue是由Shadow Brokers(影子经纪人)泄漏的一个属于美国国家安全局(NSA)的高危漏洞,该漏洞也是WannaCry和NotPetya 勒索软件攻击的主要驱动力。
其他两种利用EternalBlue进行传播的银行木马是今年7月份爆发的Emotet和TrickBot。这两个银行木马都使用了大量的EternalBlue定制漏洞在同一网络的其他计算机上进行传播,试图寻找存储有更敏感数据的计算机或感染更多受害者。
这两种银行木马的“创新之举”似乎刺激了Retefe银行木马背后的开发者,如今,他们也开始“如法炮制”,将EternalBlue模块用于Retefe之中。
Retefe银行木马于9月5日获得EternalBlue模块
据网络安全公司ProofPoint的研究人员介绍,从今年9月5日开始,一款名为“Retefe”的银行木马一直在使用EternalBlue作为其感染程序的一部分。其目的都是相同的——攻击者可以利用该漏洞,将初始感染升级到同一网络上的其他计算机(使用过时的SMBv1服务)中。
就像Emotet和TrickBot银行木马一样,Retefe似乎已经修改了GitHub上发布的概念验证(POC)EternalBlue漏洞利用代码,甚至其背后的开发者还通过添加一个新组件来对它进行了改善。
Retefe——从代理劫持(proxy hijacking)、Tor到现在的EternalBlue
研究人员表示,看到Retefe开始利用EternalBlue进行传播一点也不奇怪。与TrickBot或Dridex这种喜欢通过传播大规模垃圾邮件进行攻击的银行木马不同,Retefe和Qbot银行木马偏向于小规模的攻击。ProofPoint的研究人员表示,
Retefe的攻击目标主要是位于奥地利、瑞典、瑞士以及日本等国家的银行客户。该银行木马自2013年以来一直活跃,虽然它的攻击规模远不如TrickBot以及Dridex等木马,但其独特的攻击方式和针对性的攻击区域还是引起了我们的注意。
Retefe银行木马的攻击方式是独特的,它不同于Dridex等类型的木马,需要使用hook技术在浏览器的合法站点上注入伪造的登录页面,Retefe主要依赖于修改计算机的代理服务器设置,将某些网站的流量重定向到攻击者的服务器上。大多数这些服务器都是存储在暗网上,有助于木马开发者隐藏其网络踪迹,增加研究人员的追踪难度。
【Retefe使用的代理注入(proxy injection )示意图】
此外,研究人员还发现,最近几个月中,Retefe还使用Microsoft Office恶意文档分发网络钓鱼邮件,这些附件包含嵌入式的Package Shell 对象或OLE对象,它们通常显示为Windows快捷方式“.lnk”文件。此外,附件中还包含图像和文本,诱使受害者点击快捷方式运行它们(如下所示):
【Retefe使用的 Microsoft Word附件】
一旦受害者打开附件中的快捷方式便会触发一个PowerShell执行命令,下载一个托管在远程服务器上的可执行有效载荷。在最新的活动中,该有效载荷是自解压缩Zip存档:
【用户打开快捷方式时显示的安全警告】
如上所述,下载的可执行文件是一个自解压缩的Zip存档,它包含一个多重模糊的JavaScript安装程序,其中包含了多条配置会话参数,而其中一个参数(“pseb:”)被引用来执行“永恒之蓝”漏洞脚本。
【多重模糊的JavaScript安装程序】
Retefe银行木马钟爱瑞士银行
研究人员认为,Retefe之所以钟爱瑞士银行的原因在于这些银行通常会迎合高端客户和大型企业,因此有机会获取更高的收益。
此外,研究人员还观察到,Retefe背后的开发者正在展开越来越有针对性的攻击,且有了EternalBlue漏洞的加持后,一旦初始目标被感染,便能够轻松地在网络中传播恶意软件,扩大感染规模。
还需要特别注意的是,在WannaCry的影响下,越来越多的银行木马可能会使用EternalBlue进行传播,这可能会成为2018年的威胁新趋势。
最后,Proofpoint建议企业应该确保自身已经完全修补了EternalBlue相关的漏洞,关闭了IDS(入侵检测系统)系统和防火墙的相关通信,并阻止了电子邮件网关中的恶意邮件(Retefe的主要攻击向量),由此来防范自身安全。
各位读者如感兴趣可点击阅读详细报告。