导语:研究人员检测到一个垃圾邮件活动,通过跨平台的远程访问木马(RAT)Adwind和后门XTRAT。其中Adwind还可运行在所有主流的操作系统中,包括Windows, Linux, MacOSX, Android等。

简介

研究人员检测到一个垃圾邮件活动,通过跨平台的远程访问木马(RAT)Adwind和后门XTRAT。垃圾邮件活动还会使用一个窃取信息的Loki(TSPY_HPLOKI.SM1)。

DUNIHI (VBS_DUNIHI.ELDSAVJ)是一个有后门和蠕虫功能的很著名的VB脚本,在某些单独的事件中,该脚本在垃圾邮件活动中与Adwind一起释放。Adwind-XTRAT-Loki和Adwind-DUNIHI背后的犯罪分子会滥用合法和免费的动态DNS服务器hopto[.]org。用不同的后门集应该是为了增加系统感染的可能性,如果一个恶意软件被检测到,其他的恶意软件就会尝试结束工作。

从2018年1月到2018年4月,一共检测到5535起Adwind样本量,受影响最大的区域有美国,日本,澳大利亚,意大利,台湾,德国,英国等。

1.jpg

图1. 2018年1月1日到4月17日Adwind的检测量

Adwind, XTRAT和Loki

利用的RTF文档(TROJ_CVE201711882.UHAOBGG)是通过Adwind, XTRAT,和Loki的一个后门集来完成。

2.jpg

图2.含有Adwind, XTRAT和Loki的文档

当利用的文档执行时,会从被黑的网站(hxxp://steamer10theatre[.]org/wp-admin/js/ehe[.]exe)下载Loki。Loki是一种木马释放器,会释放Adwind和XTRAT。

3.jpg

图3. 传播Adwind, XTRAT和Loki的垃圾邮件活动的感染链

释放的文件是有多种后门,anti-VM, anti-AV和高配置性的有效的RAT。Adwind和XTRAT会连接到相同的C2服务器:junpio70[.]hopto[.]org。

Adwind从2013年开始就开始活动了,可运行在所有主流的操作系统中,包括Windows, Linux, MacOSX, Android等,含有的后门功能有:

· 信息窃取

· 文件和注册表管理

· 远程桌面

· 远程shell

· 进程管理

· 文件上传,下载和执行

XTRAT和Adwind有一些相似的功能,比如信息窃取,文件和注册表管理,远程桌面等。除了这些以外,还有如下功能:

· 桌面截屏

· 通过webcam和麦克风录音

· 上传和下载文件

· 注册表操作(读,写和操作)

· 进程操作(执行和终止)

· 服务操作(开启,创建,修改和停止)

· 执行远程shell,控制受害者系统

与Adwind类似,会使用含有C2信息的加密配置文件。文件中的信息含有释放的二进制后门文件名,安装释放的后门文件的目录,注入进程的名,要使用的自动启动注册表入口,恶意软件ID,恶意软件群组名,恶意软件版本,恶意软件mutex,和发送窃取的keystroke数据到服务器的FTP信息(服务器,用户名,密码等)。

Adwind会从另一个被黑的网站(hxxp://lauramoretongriffiths[.]com/wp-content/uploads/2013/09/ieei[.]exe)下载恶意软件Loki。到2017年12月,Loki是在黑客论坛售卖的密码和加密货币钱包窃取器。Loki可以从FTP客户端,web浏览器和邮件客户端来获取数据。除了这些,Loki就会从IT管理工具PuTTY窃取数据,PuTTY是一个终端模拟器,系统控制台,网络文件传输应用。还有一个功能就是恶意软件加载器,可以记录keystrokes。

Adwind和DUNIHI

Adwind在另一个恶意软件集中,但DUNIHI不在。JAR释放器(JAVA_JRAT.DRP)是通过过垃圾邮件传播VBS释放器 (VBS_JRAT.DRP),然后释放和执行DUNIHI和Adwind。VBS释放器会检查受影响的系统中是否有JRE(Java Run Environment),如果没有JRE环境,就会下载和安装JRE环境。没有JRE环境的话,Adwind就不能正常运行。

4.jpg

图4. 携带Adwind和DUNIHI的垃圾邮件

DUNIHI会有下面的后门功能:

· 执行文件

· 更新自己

· 卸载自己

· 下载文件

· 上传文件

· 枚举驱动

· 枚举文件和文件夹

· 枚举进程

· 执行shell命令

· 删除文件和文件名

· 终止进程

· 休眠

5.jpg

图5. DUNIHI的解码脚本

DUNIHi会连接到pm2bitcoin[.]com:62103,而Adwind/jRAT变种会连接到badnulls[.]hopto[.]org:3011。

总结

对于Adwind这样跨平台的威胁,我们需要一个多层的方法来确保网关、终端、网络、服务器和手机设备的安全。IT管理员需要经常性的对网络和系统补丁分发和更新。所有的Adwind变种都是通过email邮件传播的,所以确保邮件网关的安全就非常重要,邮件网关可以解决使用邮件作为系统和网络入口的攻击和威胁。社会工程也是垃圾邮件活动的重要工具,全体员工应该有一个安全的意识,避免陷入网络犯罪攻击的骗局。公司也要经常性的去培训员工,进行公司政策的审核,建立好的安全习惯。

源链接

Hacking more

...