跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

网络犯罪分子其实都是机会主义者,随着各类操作系统的应用范围越来越广泛,他们也在不断地丰富自己的工具和技术。与此同时,为了尽可能地在网络犯罪活动中谋取更多的经济利益,犯罪分子们在选择受攻击目标时也呈现出一种多样化的趋势。这也是恶意软件的价值主张,现在越来越多的恶意软件已经实现了跨平台感染,如果能够配合一种专门的商业模式来向其他的坏人兜售这些恶意软件的话,那么这些恶意软件的影响范围还会进一步扩大。

今天的主角是Adwind/jRAT,趋势科技将其标识为JAVA_ADWIND。这是一款跨平台的远程访问木马(RAT),它可以感染任何安装了Java的设备,包括Windows、macOS、Linux和Android平台。近期,我们在一次垃圾邮件活动中再一次检测到了Adwind。但这一次,它主要针对的是航空航天工业领域的企业,受影响比较严重的国家地区包括瑞士、乌克兰、澳大利亚和美国。

Adwind异常活跃

从今年年初开始,Adwind被检测到的频率就一直在稳步增长,从2017年1月份的5286次猛增到了6月份的117649次,而且我们基本上都是在垃圾邮件活动中检测到的JAVA_ADWIND。值得注意的是,2017年5月到6月之间,JAVA_ADWIND的出现频率增长了107%,这也表明网络犯罪分子正在积极地推送和传播Adwind。

研究人员表示,Adwind/jRAT可以窃取用户凭证、收集和记录键盘信息、保存屏幕、电影或视频截图、以及从目标主机中提取数据。此前曾有攻击者利用Adwind的变种版本攻击银行和丹麦企业,Adwind甚至还可以用受感染设备组成僵尸网络。

作为一款臭名昭著的跨平台RAT,Adwind还有很多其他的“昵称”,例如jRAT、UNRECOM、AlienSpy、Frutas和 JSocket等等。在2014年,我们还发现了Android版本的Adwind/jRAT,令人惊讶的是,这个Android版本的Adwind竟然具备了挖矿的能力(涉及区块链和加密货币)。实际上,Adwind是作为一种服务来进行出售的,这也就意味着任何一位网络犯罪分子都可以根据自己的需要来修改和定制自己的Adwind版本。

下图显示的是研究人员在2017年1月至6月期间检测到JAVA_ADWIND的次数:

下图为Adwind的感染链:

垃圾邮件活动主要通过两种方式进行

我们所观察到的垃圾邮件活动主要有两波,而且都可以作为社会工程学的典型应用案例。我们在2017年6月7日观察到了第一波感染,当时Adwind使用了不同的URL地址来向目标用户传播由.NET编写的恶意软件,而且这些恶意软件还具备间谍软件的功能。第二波感染在6月14日被观察到,当时Adwind使用了不同的域名来托管恶意软件和C&C服务器。这两波感染使用的都是相似的社会工程学技巧,即欺骗用户去点击恶意URL地址。

攻击者会假冒地中海游艇委员会(MYBA)来向目标用户发送垃圾邮件,垃圾邮件的主题栏中写的是“Changes in 2017 – MYBA Charter Agreement”,并通过这种方式尝试给潜在的目标用户造成紧迫感。除此之外,攻击者不仅使用的是伪造的发件人地址(info[@]myba[.]net),而且还会在邮件中提供看似合法的内容来欺骗用户点击恶意URL链接。

下图为发送至C&C服务器的消息截图:

下图为垃圾邮件截图:

分析Adwind的攻击链

恶意URL链接将会投放一个程序信息文件(PIF),PIF中包含关于Windows如何运行MS-DOS应用的信息,并且可以像普通可执行程序(EXE)一样直接运行。这个文件采用.NET编写,其功能相当于一个下载器。在成功修改了系统证书之后,这个PIF文件便会启动Adwind的感染链。

我们跟踪的URL指向的是一个恶意PIF文件(TROJ_DLOADR.AUSUDT),其中包含各种与网络钓鱼和垃圾邮件相关的HTML文件,而这些HTML页面很有可能就是攻击者用来欺骗目标用户点击恶意URL时所用的。

下载器会通过调用Windows API来尝试修改系统证书:

如下图所示,恶意代码成功修改了证书:

系统证书被恶意篡改之后,下载器便会从一个域名下载Java EXE、动态链接库DLL和7-Zip安装程序,而这个域名指向的是垃圾邮件操作者所使用的文件共享平台:

hxxps://nup[.]pw/DJojQE[.]7z
hxxp://nup[.]pw/e2BXtK[.]exe
hxxps://nup[.]pw/9aHiCq[.]dll

下图显示的是垃圾邮件操作者所使用的文件托管服务器域名:

应对措施

Adwind是一款基于Java的跨平台恶意软件,所以网关、终端节点、网络、 服务器和移动设备都有可能受其影响。广大IT/系统管理员、信息安全专家和开发者/程序员在使用Java工作时应该遵守最佳的Java安全实践,并随时保持Java版本为 最新版。

在Adwind攻击链中,最重要的一个环节就是社会工程学技术了,这也表明我们现在急需对企业员工进行网络安全意识教育,并培养员工对垃圾邮件的敏感度:当你打开一份电子邮件时,你在进行任何点击操作之前一定要三思而后行。

Adwind的主要感染向量为垃圾邮件,这也突出了保护邮件网关安全的重要性。电子邮件作为系统和网络的一个入口点,广大管理员应该部署垃圾邮件过滤器、安全策略和电子邮件安全机制来缓解这种基于电子邮件的安全威胁。除此之外,管理员还应该部署最佳实践方案来防止类似Adwind这样的恶意软件从你的网络(涉及BYOD)中窃取重要数据。

IoC入侵检测指标

与Adwind/jRAT相关的文件和URL:

hxxp://ccb-ba[.]adv[.]br/wp-admin/network/ok/index[.]php hxxp://www[.]employersfinder[.]com/2017-MYBA-Charter[.]Agreement[.]pif hxxps://nup[.]pw/e2BXtK[.]exe hxxps://nup[.]pw/Qcaq5e[.]jar

相关哈希值:

3fc826ce8eb9e69b3c384b84351b7af63f558f774dc547fccc23d2f9788ebab4(TROJ_DLOADR.AUSUDT) c16519f1de64c6768c698de89549804c1223addd88964c57ee036f65d57fd39b(JAVA_ADWIND.JEJPCO) 97d585b6aff62fb4e43e7e6a5f816dcd7a14be11a88b109a9ba9e8cd4c456eb9(JAVA_ADWIND.AUJC) 705325922cffac1bca8b1854913176f8b2df83a70e0df0c8d683ec56c6632ddb(BKDR64_AGENT.TYUCT)

相关C&C服务器:

174[.]127[.]99[.]234 Port 1033 hxxp://vacanzaimmobiliare[.]it/testla/WebPanel/post[.]php

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

安全科普:什么是中间人攻击(MITM)

你拿着刚买的咖啡,连上了咖啡店的WiFi,然后开始工作,这样的动作在之前已经重复了无数遍,一切都和谐无比。但你不知道的是有人正在监视你,他们监视着你的各种网络活...

2129
来自专栏黑白安全

美权威机构:微软苹果Linux等操作系统遭受严重安全漏洞威胁

5月10日消息,美国计算机安全应急响应中心(以下简称“CERT”)今日通过公告宣称,Windows、macOS、Linux、FreeBSD、VMware和Xen...

641
来自专栏FreeBuf

保护物联网安全的6条基本原则,你做到了几条?

随着物联网深入普及,点进来看这篇文章的你肯定也听说过各种关于“物联网宿命”的预言。任何联网的设备,例如,监控摄像、路由器、数字视频记录器、可穿戴设备、智能灯等都...

20110
来自专栏黑白安全

告诉你怎么样用WIFI逐步渗透至内网

这个是我帮助朋友公司做的一个渗透测试,在这之前,并没有收到任何相关信息,唯一的可用渠道就是WIFI,而对方的要求就是希望我测试一下,整个网络是否安全,是否存在漏...

1274
来自专栏安全领域

8种简单方法降低你的网络风险

随着我们的生活和工作越来越多地通过网络进行,我们的个人信息受到侵害和非法使用的风险也在相应增加。

1142
来自专栏FreeBuf

网络罪犯:互联网丛林中的捕猎者

作者 Rabbit_Run 概述 任何使用互联网的人都身处危险之中,不分你年龄几何,不管你在网络上喜欢做什么。网络罪犯能够部署一个强大的军火库,瞄准任何可能的...

2176
来自专栏大数据文摘

数据安全——黑客来袭,如何保护自己?

1963
来自专栏FreeBuf

隐私泄露 | 查开房网站的背后

0×00前言 随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准...

1.5K9
来自专栏FreeBuf

看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵

Checkpoint研究人员最近发现了一种新型攻击手段–字幕攻击,当受害者加载了攻击者制作的恶意字幕文件后将会触发播放器漏洞,从而实现对受害者系统“悄无声息”地...

2298
来自专栏FreeBuf

你家路由器“有趣”的24小时 | 路由器真的安全吗?(含视频)

想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击,此次的攻击导致大量用户无法正常访问网站的服务。 根据安全研究专家的分析结果,此次DDoS攻...

2057

扫码关注云+社区

领取腾讯云代金券