来自网络安全公司Proofpoint的研究人员最近在一场规模相当大(数量达到数百万封)的垃圾电子邮件活动中发现了一种新的恶意软件,主要针对了金融机构。这种被称为“Marap”的恶意软件不仅能够收集系统信息,而且具备下载其他模块或恶意软件的能力。

研究人员表示,虽然到目前为止Marap所实施的恶意行为仅限于收集有关受感染设备的系统信息并发送到由攻击者控制的命令和控制(C&C)服务器,但模块化的特性允许攻击者随时为它添加新的功能或利用它来下载其他恶意软件。

垃圾电子邮件活动分析

Proofpoint的研究人员表示,他们在本月10日观察到了这场垃圾电子邮件活动,而大多数电子邮件的目的都在于传播同一种恶意软件,即Marap。从垃圾电子邮件活动所体现出的一些特征来看,它似乎由黑客组织TA505发起的。电子邮件包含了以下不同类型的附件:

  • Microsoft Excel Web查询(“.iqy”)文件
  • 受密码保护的ZIP存档文件(其中包含“.iqy”文件)
  • 嵌入了“.iqy”文件的PDF文档
  • 包含恶意宏的Microsoft Word文档

接下来,让我们来看看几个不同的垃圾电子邮件示例:

1)以“.iqy”文件作为附件的垃圾电子邮件示例

其中一类电子邮件声称来自“sales<[随机域名]>”,主题为“REQUEST [REF:ABCDXYZ]”(随机字母),附件为“REP_10.08.iqy”(活动日期)。

另一类电子邮件声称来自“[收件人姓名]<[随机发件人名称]@[某银行域名]>”,主题为“IMPORTANT Documents-[某银行名称]”,附件为“Request 1234_10082018.iqy”(随机数字,活动日期)。需要说明的是,此类电子邮件冒用了美国主要银行的品牌和名称。

2)以受密码保护的ZIP存档文件作为附件的垃圾电子邮件示例

电子邮件声称来自“John”,主题为“Emailing: PIC12345”(随机数字),附件为“PIC12345.zip”(其中包含“.iqy”文件)。

3)以嵌入了“.iqy”文件的PDF文档作为附件的垃圾电子邮件示例

电子邮件声称来自“Joan Doe< netadmin@[随机域名]>”,主题为“SCN_1234567890_10082018”(“SNC”、“DOC”、“PDF”或“PDFFILE”,随机数字,活动日期),对应的附件为“SCN _1234567890_10082018.pdf”(内嵌“.iqy”文件)。

4)以Microsoft Word文档作为附件的垃圾电子邮件示例

电子邮件声称来自“John”,主题为“Invoice for 12345.10/08/2018”(随机数字,活动日期),相应的附件为“Invoice_ 12345.10_08_2018.doc”。

恶意软件分析

就如文章最开头提到的那样,Marap是一个新的下载程序以其命令和控制(C&C)服务器的参数“param”反向拼写命名。它是采用C语言编写的,其中包含了一些值得注意的反分析功能。

大多数Windows API函数调用在运行时都是使用散列算法解析的。API哈希值在恶意软件中很常见,这样可以防止分析人员和自动化工具能够轻易地确认代码的用途。对于Marap而言,其开发者为它使用了一种自定义的算法。

Marap还具备第二种反分析技术,即在重要函数的开头使用定时检查,如下图所示。如果计算出的休眠时间过短,恶意软件就会退出。Proofpoint的研究人员表示,这可能会阻碍对恶意软件的调试和沙箱操作。

另外,Marap的开发者还使用了以下三种方法来对Marap中的大多数字符串进行混淆处理:

1.在堆栈上创建(堆栈字符串)

2.基本XOR编码

3.一种稍微复杂的基于XOR的编码

Marap所执行的最后一次反分析检查会将系统的MAC地址与它所包含的虚拟机供应商列表中的地址进行比较。如果检查到匹配项,恶意软件则可能会退出。

根据Proofpoint研究人员的说法,Marap所包含的一个名为“mod_Init.dll”会收集以下系统信息并发送到C&C服务器:

  • 用户名
  • 域名
  • 主机名
  • IP地址
  • 语言
  • 国家
  • Windows版本
  • Microsoft Outlook.ost文件列表
  • 已安装的防病毒软件

随着普通用户的安全意识提高以及防病毒软件的功能的加强,恶意软件开发者一直探索新的方法来提高恶意软件的质量和可用性,并降低恶意软件被分析人员和自动化工具检测出来的机率。

Proofpoint的研究人员表示,虽然勒索软件的传播量在今年明显减少,但这个空白已经被银行木马、下载程序和其他恶意软件所填补。其中,下载程序能够让攻击者在受感染的设备和网络中驻留更长的时间,以执行任何其他恶意行为。

从这场垃圾电子邮件活动所体现出的一些特征来看,它似乎由黑客组织TA505发起的。这是一个自2014年以来就一直保持活跃的黑客组织,也被Proofpoint认为是远程访问木马FlawedAmmyy背后的运营团队。

在过去的几年里,TA505黑客组织已经通过利用银行木马Dridex以及勒索软件Locky和Jaff成功实施了多起大型的网络攻击活动。从这场最新的活动来看,该组织正在利用Marap收集可用的信息,这很可能是在为后续攻击而进行准备。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。