深入剖析一场针对意大利政府机构的Gootkit木马活动

作者: 乖巧小墨宝 | 来源:发表于2018-12-26 15:18 被阅读0次

深入剖析一场针对意大利政府机构的Gootkit木马活动
深入剖析在意大利肆掠的Danabot木马新变种
长治分行政府机构改革专项营销活动推进情况简报（201905期）
深入剖析一场针对法国工业领域的网络钓鱼活动
《剑桥意大利史》
深入剖析 iOS 编译 Clang / LLVM 直播 PPT
深入剖析 iOS 性能优化
奈学Java架构师训练营分享vx:itnaer
Java并发编程 - 共享锁
Java并发编程 - 深入剖析Condition

ReaQta在最近观察到了一场活跃的Gootkit木马活动，主要针对的是意大利政府机构。值得注意的是ReaQta对这场活动的监控是从2018年11月底开始的。但到目前为止，各大防病毒引擎针对在这场活动中使用的恶意文件的检出率仍然非常低。

在这场活动中，木马的传播主要依赖于鱼叉式网络钓鱼电子邮件，并且针对不同的政府机构使用了不同的主题。需要指出的是，发件人使用的是PEC（实名认证的电子邮箱）邮箱地址。分析表明，这些电子邮箱是从这些政府机构官方网站收集而来的。

电子邮件使用的主题：

Re: Approvazione ordine del giorno

Re: Notificazione ai sensi della legge n. 53 del 1994 e modifiche e integrazioni

POSTA CERTIFICATA: Re: AMM:Ministero Economia e Finanze AOO:DSII Protocollo numero:0004592 del 14/02/2018

Re: Modello DA2018 Tassone Cosimo

目标政府机构：

Comune di Sarcedo (comune.sarcedo.vi.it)

Comune di Quarto (www.comune.quarto.na.it)

Comune di Forino (comune.forino.av.it)

Comune di Vicenza (comune.vicenza.it)

Comune di Bevilacqua (comune.bevilacqua.vr.it)

Comune di Verona (comune.verona.it)

Comune di Belfiore (comune.belfiore.vr.it)

Comune di Caldiero (comune.caldiero.vr.it)

Comune di Bonavigo (comune.bonavigo.vr.it)

Comune di Pressana (comune.pressana.vr.it)

Comune di Thiene (comune.thiene.vi.it)

Comune di Zanè (comune.zane.vi.it)

Comune di Terrazzo (comune.terrazzo.vr.it)

Comune di Lavagno (comune.lavagno.vr.it)

Comune di Sarego (sarego.gov.it)

Comune di Zimella (zimella.com)

Comune di Minerbe (comune.minerbe.vr.it)

Comune di Veronella (comune.veronella.vr.it)

Comune di Mezzane di Sotto (comune.mezzane.vr.it)

Comune di Boschi Sant’Anna (comune.boschisantanna.vr.it)

Comune di Montecchio Precalcino (comune.montecchioprecalcino.vi.it)

Comune di Monteforte d´Alpone (comune.montefortedalpone.vr.it)

Comune di Albaredo d’Adige (comune.albaredodadige.vr.it)

Comune di San Germano dei Berici (comune.sangermanodeiberici.vi.it)

Agenzia Entrate Riscossione (agenziaentrateriscossione.gov.it)

Dipartimento dell’Amministrazione Generale del Personale e dei Servizi (dag.mef.gov.it)

Ordine dei Dottori Commercialisti e degli Esperti Contabili di Locri (dceclocri.it)

Regione del Veneto (regione.veneto.it)

图1. 以恶意ZIP文件作为附件的钓鱼电子邮件

如上图所示，恶意电子邮件附带有一个ZIP文件。这个压缩文件包含有两个文件：一个是检出率为0的恶意VBS文件，另一个是被用作诱饵的合法PDF文档。ReaQta检测到的大多数ZIP文件都使用了如下命名格式：

Avviso_[随机数].zip

Document_[随机数].zip

fattura_elettronica___[随机数].zip

_Nuovi Fattura elettronica 2018__[随机数].zip

之所以这场活动会引起ReaQta威胁情报团队的注意，主要是由于恶意VBS文件所使用的混淆方法，以及攻击第一阶段恶意代码的低检出率。总的来说，ReaQta一共针对24个恶意VBS文件样本进行分析。

在ReaQta对这些样本进行分析时（2018年12月3日），只有一种防病毒引擎能够检测出23个样本中的5个，而其他引擎（包括静态引擎和基于ML的引擎）都无法检测出这些样本。

图2.恶意VBS文件在VirusTotal上的检出率显示为0

分析表明，恶意VBS文件下载的最终payload，是众所周知的多功能银行木马Gootkit的变种。在以下内容中，ReaQta重点分析了恶意VBS文件的感染策略，虽然也会涉及到对Gootkit木马的讨论，但不会太过深入。因为，此前已经有许多其他的研究人员和安全公司对该木马进行了详细的介绍。事实上，早在许多年以前，这个银行木马就已经开始活跃了。

感染策略

如上所述，钓鱼电子邮件的ZIP附件包含一个PDF文档和一个恶意VBS文件。其中，恶意VBS文件是采用意大利文命名的，具体如下：

PREVENTIVO GIULIANO PORTE CANTINA E BOX 890

VETRERIA MARTELLI – 18mq 183

Eseguito Bonifico Europeo Unico

PREVENTIVO SCHELI STOP SECURITY

Conferma Ordine 2041 del 03_03_2018

Eseguito Pagamento MAV

Eseguito Pagamento RAV

Eseguito Pagamento Bollettino Postale

F24 Ordinario

INVITO CORSO DI SECONDO LIVELLO

TASSE E IMPOSTE 2017

Notifica conferma e invio dichiarazione di Marco Monten

Richiesta preventivo attrezzatur

LETTERA ASSUNZIONE VIALE ANDREA ANGELO LUGLIO

Nuovi Fattura elettronica 2018

虽然在过去的两个月里，意大利就一直在遭受这些恶意VBS文件的攻击，但在这场最新的活动中，除了令人难以置信的低检出率之外，恶意VBS文件使用的混淆方法也发生了一些变化。

下图展示的是在此前活动（10月/ 11月）中使用的VBS文件与当前活动中使用的VBS文件的对比：

图3.恶意VBS文件使用的不同混淆方法

对于所有ZIP附件来说，包含的PDF文档都是相同的——于2011年11月30日发表的《Consiglio Nazionale delle Ricerche – Istituto di Biometeorologia》。

图4.诱饵PDF文档

这些恶意VBS文件包含3,537到4,253行不等的混淆代码，作为逃避安全检测的一种手段，也是导致其检出率如此低的根本所在。

图5.五个不同恶意VBS文件包含的混淆代码

另一方面，恶意VBS 文件能够通过调用PowerShell来执行命令，以建立与托管最终payload的恶意服务器的连接。然后，通过发送GET请求来下载payload。具体来说，下载是通过使用参数“/upll?[Random-number]”来完成的，下载的payload最终将被保存到％TEMP％文件夹中并执行。