81 views

Neverquest:针对财务的全球威胁

By | 2018年12月8日

3月31 日,Arbor的安全工程和响应团队(ASERT)针对Arbor客户发布了针对Neverquest恶意软件的详细威胁简报。除了成千上万的IOC(妥协指标)外,简要介绍了Neverquest当前的内部工作原理,并介绍了ASERT用于解开和监控这种隐秘且快速发展的恶意软件的一些逆转技术。将此研究大规模应用于我们的全球ATLAS计划获得的恶意软件和数据,使我们能够开发有针对性的防御和安全环境,使客户能够缓解高级威胁并随着时间的推移增强其安全状况[1]。

此博客文章提供了Neverquest威胁简报的摘录,以及在向客户发布简报时尚未提供的一些新数据。在此过程中,它还突出了为Arbor产品提供食品的ASERT研究活动的结果。

历史威胁语境与先前研究

最初,一个名为Ursniff的恶意软件系列用于构建名为Gozi的新恶意软件。经过一些成功和不活动的时间后,Gozi被重振为Gozi Prinimalka,后来演变为现代的Vawtrak / Neverquest(在此称为“Neverquest”)。多年来,Gozi银行木马和与之相关的俄罗斯威胁行为者进行了基础威胁分析工作。从运营非法业务76服务的“挂起团队”一直到现代,一群经验丰富的网络犯罪分子一直在努力应对这一威胁,显然取得了巨大的成功,使这项运作持续了多年。2014年年中最近的变化使威胁重新引起了安全行业和执法部门的注意。威胁经常发生变化,并且已经通过各种策略传播,包括但不限于使用Kulouz spambot进行spambot交付,漏洞利用工具包分发,恶意MS-Word文档以及Chanitor下载程序恶意软件的下载。Sophos的研究人员在2014年12月发布了威胁的操作细节,讨论了Neverquest演变为犯罪软件即服务平台的过程。2015年1月,PhishLabs的研究人员公开了关于扩大犯罪基础设施和目标的更多观察。

2015年3月24日,反恶意软件公司AVG 发布了有关最新Neverquest活动的研究,包括使用tor2web域下载更新。几个月内,在Neverquest二进制文件中可以看到Tor2web域名,但直到2015年3月中旬才在我们的分析环境中观察到这些站点的实际使用情况。

鼓励需要或希望更全面了解这种不断演变的恶意软件的读者回顾这一重要的先前工作。

恶意软件威胁概述

从早期的恶意代码发展而来,Neverquest融合了多年地下经验所磨练的先进技术。在寻求经济利益的过程中,Neverquest用于代表受感染的受害者访问受害者银行账户和其他金融处理系统。收集被盗账户并将其交还给攻击活动背后的威胁参与者。这些凭证可以与一系列webinject结合使用,其中Neverquest将恶意代码注入已通过URL或关键字标准选择的其他授权和合法的Web会话,AKA“浏览器中的人”。通过受害者计算机利用webinjects和代理的能力允许威胁参与者绕过安全限制,例如多因素身份验证和加密,以及利用现有的会话数据和交易。由于Neverquest已经在形式上或实质上整合了着名的Pony Loader恶意软件的功能,因此可以使用更基本的凭据窃取功能,该恶意软件会搜索系统以获取已保存的凭据,然后将其泄露给攻击者。威胁参与者还可以通过虚拟网络计算(VNC)接口连接到目标,并且还观察到通过VPN代理交易可能会混淆可能导致他们自己或他们的犯罪基础设施的踪迹。其他功能包括窃取证书和cookie,执行命令,在磁盘上查找文件,设置SOCKS服务器,下载bot更新等功能。由于Neverquest已经在形式上或实质上整合了着名的Pony Loader恶意软件的功能,因此可以使用更基本的凭据窃取功能,该恶意软件会搜索系统以获取已保存的凭据,然后将其泄露给攻击者。威胁参与者还可以通过虚拟网络计算(VNC)接口连接到目标,并且还观察到通过VPN代理交易可能会混淆可能导致他们自己或他们的犯罪基础设施的踪迹。其他功能包括窃取证书和cookie,执行命令,在磁盘上查找文件,设置SOCKS服务器,下载bot更新等功能。由于Neverquest已经在形式上或实质上整合了着名的Pony Loader恶意软件的功能,因此可以使用更基本的凭据窃取功能,该恶意软件会搜索系统以获取已保存的凭据,然后将其泄露给攻击者。威胁参与者还可以通过虚拟网络计算(VNC)接口连接到目标,并且还观察到通过VPN代理交易可能会混淆可能导致他们自己或他们的犯罪基础设施的踪迹。其他功能包括窃取证书和cookie,执行命令,在磁盘上查找文件,设置SOCKS服务器,下载bot更新等功能。着名的Pony Loader恶意软件的功能,用于搜索系统以获取已保存的凭据,然后将其泄露给攻击者。威胁参与者还可以通过虚拟网络计算(VNC)接口连接到目标,并且还观察到通过VPN代理交易可能会混淆可能导致他们自己或他们的犯罪基础设施的踪迹。其他功能包括窃取证书和cookie,执行命令,在磁盘上查找文件,设置SOCKS服务器,下载bot更新等功能。着名的Pony Loader恶意软件的功能,用于搜索系统以获取已保存的凭据,然后将其泄露给攻击者。威胁参与者还可以通过虚拟网络计算(VNC)接口连接到目标,并且还观察到通过VPN代理交易可能会混淆可能导致他们自己或他们的犯罪基础设施的踪迹。其他功能包括窃取证书和cookie,执行命令,在磁盘上查找文件,设置SOCKS服务器,下载bot更新等功能。

调查表明,威胁行动者是协调和经验的,并不断发展他们的策略,技术和程序(TTP),以响应安全行业的进步和公开披露。这种演变的例子是增加使用加密来保护配置元素免于在多个级别上轻松拦截,增加配置中推送的目标和C2域的数量,使用隐写术来更新C2列表,以及紧急使用匿名网络,以混淆和保护后端犯罪服务器基础设施。

Neverquest配置

第一阶段配置

Neverquest通常包含存储在恶意软件二进制文件本身内的第一阶段内部配置。此配置提供将在第一次与C2基础结构联系时使用的初始静态参数。第一阶段配置信息包括以下内容:

C2信息:用于C2的IP地址和/或域名列表。每个恶意软件二进制文件包含许多C2,其中列表小到四个C2,最多28个C2。
项目ID:与手头活动相关的数值。每个项目ID似乎都可用于将僵尸网络划分为可能针对一个或多个目标的活动广告系列。
更新版本:软件版本。
构建:软件的内部版本号。
URI模板:将使用的格式字符串,以及POST到C2的动态和静态生成的数据。
Tor2web域名:tor2web域名列表(并非在所有变体中找到)。
加密种子材料:机器人在加密和解密过程中动态使用的各种加密种子。
第二阶段配置

一旦Neverquest到达其C2,它就会收到一个包含大量目标信息的更大配置文件。此第二阶段配置包含三个常规部分:

Web Inject Rules:指示将恶意内容注入HTTP会话的位置
每个注入规则的格式如下:

($ target_url_regex,$ injection_point,$ content_to_be_injected,$ flags)

一个例子:

(’client.schwab.com/Accounts/’,'</ body>’,'<script> \ r \ nLoadPageGood(); \ r \ n </ script> \ r \ n </ body>’,’\ x0c \ x07’)

这意味着对于任何匹配’client.schwab.com/Accounts的URL,将第一个</ body>元素替换为提供的恶意Javascript。

触发URL:HTTP请求被盗
触发器URL是将其HTTP请求转发到Neverquest C2的URL列表。

每个触发器URL的格式为($ trigger_url,$ flags)

一个例子:

(’flickr.com/services/xmlrpc/’,32)

触发字符串:HTTP响应被盗
当Neverquest在任何HTTP响应中遇到触发器字符串时,它会将该响应的副本发送到C2。

一个例子:

‘可用余额’

Neverquest是一种全球现象

截至3月27 日,ASERT收集的Neverquest恶意软件工件如下:

表格1

我们的样本集表明,25个不同的国家/地区至少托管了一个由Neverquest webinject定位的网站。虽然有很多方法可以评估某个国家受Neverquest影响的程度,但我们提供以下两种方式。第一张图表根据针对每个国家/地区的不同Neverquest项目ID(广告系列)的数量对25个国家/地区进行排名。请注意,单个项目ID通常包含多个国家/地区的网站的webinject:

图1

例如,上图告诉我们,样本集中72%(50个中的36个)的所有项目ID都包含一个针对英国网站的webinject URL。

查看Neverquest国家影响的另一种方法是查看与Neverquest webinject URL相关联的站点的IP地址的地理位置数据。这些数据如图2所示。请注意,美国的线路被切断,以免模糊图表的其余部分。虽然图表截止到30,但我们当前的Neverquest webinjects列表所针对的美国网站有230个IP地址:

图2

将它与解释这些图表协助的程度,我们注意到,虽然加拿大(CA)排名8 日,在图1的基础上,25个不同的Neverquest项目ID的定位加拿大,它居第2 次在数量方面,如图2加拿大托管网站的IP地址由Neverquest定位。

我们还可以从之前的两个图表中确定,针对沙特阿拉伯(SA)的27个不同项目ID都针对沙特阿拉伯境内的同一个站点。

如上所述,单个Neverquest项目ID通常针对在不同国家/地区托管的不同域。同样,不同的Neverquest项目ID通常针对相同的域。下图以图形方式说明了50个Neverquest项目ID(黄色圆圈)与25个目标国家(蓝色圆圈)之间的关系:

图3

如图所示,项目ID和国家/地区存在某些分组。实际上,我们的样本集中有十套Neverquest项目ID,因此给定集合中的所有项目ID都针对完全相同的国家/地区:

表2

具有相同目标的不同项目ID为Sophos论文设想的犯罪软件即服务模型提供了信任。例如,不同的对手可能会使用不同的广告系列ID定位同一组受害者,以便进行跟踪。也可能是购买服务带有默认配置,随后可以由对手调整。

在完整的ASERT Threat Intelligence Brief中,我们利用这些分组进一步深入了解每个组所针对的特定域。具体而言,对于每组项目ID,完整的ASERT简报提供了webinjects所针对的站点的高级地理视图,然后是目标域的列表以及该域的相应webinjects数量。

在资源允许的情况下,ASERT可以为目标客户提供有关为每个目标URL注入的精确注入点和内容的详细信息。鼓励寻求更多洞察力的目标组织与Arbor Networks联系以进一步合作。

受害者分析

由于沉没了许多Neverquest命令和控制域,ASERT已经深入了解了报告回C2域的一组受感染机器。由唯一IP地址表示的每个折衷点可能是触发器URL,触发器字符串或受害者环境中存在的webinject目标URL的结果,这导致数据被发布到C2服务器。虽然DHCP流失和移动性将提供这些地图的准确性和可靠性的可变性,但监控显示,在2015年3月1日至3月26日期间,大约64,500个唯一IP地址联系了我们的Neverquest下沉孔。

图4

需要进一步分析,以便将受害者位置与Neverquest webinject目标相关联。

图5

正如预期的那样,主要人口中心在美国和世界其他地方表现出很多妥协。虽然许多人口中心遭受重创,但英国似乎受到了很大的打击。

图6

在亚太地区,日本表现出大量的妥协活动,受害者人数较少出现在韩国。

图7

触发URL频率

回想一下,当Neverquest在POST请求中检测到触发URL时,它会将发布数据的副本转发给C2。截至3月25 日,我们在Neverquest配置中观察到153个唯一的触发器URL。在我们的接收器拾取的1,066,608个POST请求中,我们观察到这153个触发URL中的60个。下表按计数列出了当前前25个触发URL将数据发布到我们的下水道。

图8

重要的是,请注意Neverquest如何劫持与目标金融机构的沟通。从上面,我们看到它还会将发布到mail.yahoo或mail.google.com的电子邮件说明。

攻击者基础设施

根据现有数据样本,C2分散在世界各地,欧洲各国和乌克兰的分布更为集中。这些图只是C2活动的代表性样本,不应被视为全面的。

图9

图10

威胁构建的最新进展:Tor2Web指标

最近的Neverquest样本包含设计用于通过tor2web.org站点连接到隐藏服务器的代码,其方式类似于Chanitor下载恶意软件使用的策略,该恶意软件使用tor2web进行命令和控制(C2)。Neverquest变体正在下载存储在favicon.ico文件中的经过数字签名的更新C2列表,这些文件似乎是合法的,但已使用隐写术进行了修改。虽然至少在2014年12月27日,第一个tor2web域名出现在Neverquest恶意软件样本中,但至少在2015年3月12日以来我们的样本集中已经观察到Neverquest在网络上获得这些更新。截至3月的C2指标完整列表第 27页,包括洋葱域名包含在完整的ASERT威胁情报简报中。

妥协的视觉指标

在某些情况下,攻击者可能会定义一个Webinject,它会产生一个妥协的视觉指示。过去的研究表明,攻击者花了很多时间在webinjects上工作,以使其功能性和有效性。绕过普通用户的怀疑是攻击者的一个重要目标,但在某些情况下,用户可能会注意到某些不妥之处,特别是如果金融机构已经提醒用户任何可能表明存在问题的视觉或行为变化。

攻击者可能会通过解释视觉变化是由于金融机构为客户的保护而实施额外的安全措施而试图向受害者保证。攻击者可以使用多因素身份验证方法请求辅助身份验证代码以尝试定位高价值帐户。如果最终用户已经成功通过认证并且不需要辅助认证因素,则该消息可以用作停顿策略,允许犯罪分子有足够的时间来劫持用户的会话。失速策略可以包括向用户询问用户不具有的设备的认证代码,安全参数的验证,或者网站不可用于维护。

注射通常可能包含错误,例如在同一表单上的三个位置请求密码。通常会向受害者询问银行应该知道的信息,例如用户的姓名,受害者的工作,移动电话和家庭电话号码。攻击者有时会在注射时留下意外的文物。在一个示例中,将静态用户id预先填充到注入字段中。

威胁速度

Neverquest威胁演员保持忙碌。新的活动频繁上线,针对各种各样的目标。此外,还观察到了持续的发展。如果ASERT观察到的最新发展趋势仍在继续,我们可以预期每月大约有一个新构建,大约有10到20个新项目ID,尽管这些数字只是估计值,并且可能会根据这些攻击活动的持续成功而有很大差异。

作为这种威胁速度的一个例子,我们观察到样本监测窗口(2015年3月9日至3月27日)内的各种增加值,值得注意。已经观察到十个新的项目ID,每个ID代表针对各种目标的新的犯罪活动。此外,我们在其他恶意软件广告系列活动中观察到以下更改:

发表评论

电子邮件地址不会被公开。 必填项已用*标注