导语:研究人员检测到一个垃圾邮件活动,通过跨平台的远程访问木马(RAT)Adwind和后门XTRAT。其中Adwind还可运行在所有主流的操作系统中,包括Windows, Linux, MacOSX, Android等。
简介
研究人员检测到一个垃圾邮件活动,通过跨平台的远程访问木马(RAT)Adwind和后门XTRAT。垃圾邮件活动还会使用一个窃取信息的Loki(TSPY_HPLOKI.SM1)。
DUNIHI (VBS_DUNIHI.ELDSAVJ)是一个有后门和蠕虫功能的很著名的VB脚本,在某些单独的事件中,该脚本在垃圾邮件活动中与Adwind一起释放。Adwind-XTRAT-Loki和Adwind-DUNIHI背后的犯罪分子会滥用合法和免费的动态DNS服务器hopto[.]org。用不同的后门集应该是为了增加系统感染的可能性,如果一个恶意软件被检测到,其他的恶意软件就会尝试结束工作。
从2018年1月到2018年4月,一共检测到5535起Adwind样本量,受影响最大的区域有美国,日本,澳大利亚,意大利,台湾,德国,英国等。
图1. 2018年1月1日到4月17日Adwind的检测量
Adwind, XTRAT和Loki
利用的RTF文档(TROJ_CVE201711882.UHAOBGG)是通过Adwind, XTRAT,和Loki的一个后门集来完成。
图2.含有Adwind, XTRAT和Loki的文档
当利用的文档执行时,会从被黑的网站(hxxp://steamer10theatre[.]org/wp-admin/js/ehe[.]exe)下载Loki。Loki是一种木马释放器,会释放Adwind和XTRAT。
图3. 传播Adwind, XTRAT和Loki的垃圾邮件活动的感染链
释放的文件是有多种后门,anti-VM, anti-AV和高配置性的有效的RAT。Adwind和XTRAT会连接到相同的C2服务器:junpio70[.]hopto[.]org。
Adwind从2013年开始就开始活动了,可运行在所有主流的操作系统中,包括Windows, Linux, MacOSX, Android等,含有的后门功能有:
· 信息窃取
· 文件和注册表管理
· 远程桌面
· 远程shell
· 进程管理
· 文件上传,下载和执行
XTRAT和Adwind有一些相似的功能,比如信息窃取,文件和注册表管理,远程桌面等。除了这些以外,还有如下功能:
· 桌面截屏
· 通过webcam和麦克风录音
· 上传和下载文件
· 注册表操作(读,写和操作)
· 进程操作(执行和终止)
· 服务操作(开启,创建,修改和停止)
· 执行远程shell,控制受害者系统
与Adwind类似,会使用含有C2信息的加密配置文件。文件中的信息含有释放的二进制后门文件名,安装释放的后门文件的目录,注入进程的名,要使用的自动启动注册表入口,恶意软件ID,恶意软件群组名,恶意软件版本,恶意软件mutex,和发送窃取的keystroke数据到服务器的FTP信息(服务器,用户名,密码等)。
Adwind会从另一个被黑的网站(hxxp://lauramoretongriffiths[.]com/wp-content/uploads/2013/09/ieei[.]exe)下载恶意软件Loki。到2017年12月,Loki是在黑客论坛售卖的密码和加密货币钱包窃取器。Loki可以从FTP客户端,web浏览器和邮件客户端来获取数据。除了这些,Loki就会从IT管理工具PuTTY窃取数据,PuTTY是一个终端模拟器,系统控制台,网络文件传输应用。还有一个功能就是恶意软件加载器,可以记录keystrokes。
Adwind和DUNIHI
Adwind在另一个恶意软件集中,但DUNIHI不在。JAR释放器(JAVA_JRAT.DRP)是通过过垃圾邮件传播VBS释放器 (VBS_JRAT.DRP),然后释放和执行DUNIHI和Adwind。VBS释放器会检查受影响的系统中是否有JRE(Java Run Environment),如果没有JRE环境,就会下载和安装JRE环境。没有JRE环境的话,Adwind就不能正常运行。
图4. 携带Adwind和DUNIHI的垃圾邮件
DUNIHI会有下面的后门功能:
· 执行文件
· 更新自己
· 卸载自己
· 下载文件
· 上传文件
· 枚举驱动
· 枚举文件和文件夹
· 枚举进程
· 执行shell命令
· 删除文件和文件名
· 终止进程
· 休眠
图5. DUNIHI的解码脚本
DUNIHi会连接到pm2bitcoin[.]com:62103,而Adwind/jRAT变种会连接到badnulls[.]hopto[.]org:3011。
总结
对于Adwind这样跨平台的威胁,我们需要一个多层的方法来确保网关、终端、网络、服务器和手机设备的安全。IT管理员需要经常性的对网络和系统补丁分发和更新。所有的Adwind变种都是通过email邮件传播的,所以确保邮件网关的安全就非常重要,邮件网关可以解决使用邮件作为系统和网络入口的攻击和威胁。社会工程也是垃圾邮件活动的重要工具,全体员工应该有一个安全的意识,避免陷入网络犯罪攻击的骗局。公司也要经常性的去培训员工,进行公司政策的审核,建立好的安全习惯。