利用路由器传播的DYREZA家族变种分析

安天安全研究与应急处理中心(Antiy CERT)

首次发布时间:2015年9月1日 17:00


PDF报告下载

1. 概述

安天CERT(安全研究与应急处理中心)近期收到大量用户反馈,称其收到带有可疑附件的邮件,经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播和下载的木马家族Dyreza的变种,其目的是窃取银行账号和比特币。该变种通过Upatre下载者进行下载,下载Dyreza变种的服务器均为路由器。攻击者将入侵的路由器Dyreza变种的传播服务器,在路由器中存放的文件均为加密文件。此外,该变种还具有反虚拟机功能。在分析过程中,安天CERT研究人员发现大量的路由器被植入了Dyreza的最新变种。


2. 事件样本分析

2.1 传播过程

图 1 Dyreza木马的传播过程

不法分子首先利用弱口令等方法入侵互联网中的路由器,在路由器中存放加载的恶意代码程序,这些恶意代码程序的后缀名包括:.AVI、.ZIP、.TAR、.RAR、.PNG、.PDF;然后通过散布带有社会工程学性质的垃圾邮件,诱使用户运行附件中的Upatre下载者;Upatre下载者连接被入侵的路由器,下载路由器中存放的加密的恶意代码程序,在用户系统中解密后得到Dyreza木马。

2.2 样本标签

病毒名称

Trojan[Downloader]/Win32.Upatre

原始文件名

business-focused systematic product.exe

MD5

D53B1091D8EFBEFC986D86AABCB28631

处理器架构

X86-32

文件大小

58.5 KB (59,904 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2015年6月18日 18:5:43

数字签名

加壳类型

未知壳

编译语言

未知

VT首次上传时间

2015-08-05

VT检测结果

24 / 56

本次事件中,Upatre下载者负责下载窃取银行账号和比特币的Dyreza木马程序。Upatre下载者主要通过电子邮件进行传播,目前以Upatre家族为载体的木马家族有Zeus、Rovnix、Dyreza、勒索软件和僵尸网络等。

2.3 Upatre样本分析

1. 样本使用了多层混淆技术来阻止反病毒工程师对其进行分析。Upatre运行后,首先创建进程svchost.exe,并将自身代码注入到svchost.exe进程中执行,同时结束自身进程;通过ZwQueryInformationProcess函数检测自身是否在调试器下运行;最后通过ZwResumeThread函数恢复线程启用。

图 2 将自身代码注入到创建的svchost.exe进程中

2. 通过HTTPS进行下载,如下载失败会循环下载其它路由器的IP地址进行下载,直到下载成功。

图 3 下载加密的恶意代码文件

3. 目前安天CERT研究人员发现通过路由器IP地址下载的文件均为加密的Dyreza变种。其文件后缀名如下:

.tar  .png  .avi  .zip  .rar  .pdf

经安天CERT研究人员测试发现在同一个路由器上存在多个加密文件。其中某路由器上存放着99个加密恶意代码,文件名列表如下:

Call2Me.tar
Clip_1.avi
Clip_2.avi
Clip_7.avi
New_Clip_1.avi
New_Clip_2.avi
New_Clip_7.avi
Try2Me.tar
t11.png
t12.png
t13.png
t15.zip
t16.zip
t17.zip
t18.zip
t20.zip
teu11.tar
teu12.tar
teu13.ta
AUv6.77.tarr

ac11.png
ac12.png
ac13.png
ac17.png
fi11.avi
fi12.avi
fi13.avi
fl11.tar
fl12.tar
fl13.tar
ic11.png
ic12.png
ic13.png
se12.avi  
se21.avi  
se22.avi  
se23.avi  
se77.avi
k1.tar
k2.tar

k2411.png
k2412.png
k2413.png
k2414.png
k2415.png
kc11.png
kc12.png
kc13.png
kc17.png
l11.tar
l12.tar
l13.tar
l17.tar
l21.zip
l22.zip
l23.zip
l27.zip
l28.zip
k7.tar
USv6.12.tar

lci11.tar
lci12.tar
lci13.tar
lci17.tar
nn21.rar
nn22.rar
nn23.rar
nn27.rar
nus11.png
nus12.png
nus13.png
ov1.zip
ov2.zip
ov3.zip
ov7.zip
pi11.png
pi12.png
pi13.png
pi17.png

USAreport20150812_7.pdf
UnitedReport_page_1.pdf
UnitedReport_page_2.pdf
UnitedReport_page_7.pdf
pikp11.png
pikp12.png
pikp13.png
rimage21.png
rimage22.png
rimage23.png
tek11.png
tek12.png
tek13.png
tek17.png
teu7.tar
ng11.zip
ng12.zip
ng13.zip
ng17.zip
ng18.zip

放置加密恶意代码的路由器登陆界面:

图 4 放置加密恶意代码的路由器连接界面

4. 在下图,全球被入侵路由器的IP地址的地理位置中,排在前三位的分别是:美国、波兰、乌克兰;其中欧洲国家较多。

图 5 存放加密恶意代码的路由器的IP地址分布

5. Upatre下载者将加密文件下载到本地后进行解密:

图 6 解密代码

首先略过加密文件头部的4个字节,然后每次取出4个字节与Key进行异或,每次运算后Key减1。依此循环进行解密,直至解密完成,解密后的文件是一个可执行的PE文件,即Dyreza木马。

3 Dyreza家族变种分析

3.1 样本标签

病毒名称

Trojan[Backdoor]/Win32.Dyreza

原始文件名

hxHdXD0.exe

MD5

955D9364AE0AF753FC627D630883742F

处理器架构

X86-32

文件大小

491 KB (503,296 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2015年6月18日 18:5:43

数字签名

加壳类型

未知壳

编译语言

未知

VT首次上传时间

2015-08-05 

VT检测结果

39/ 57

Dyreza家族非常类似于臭名昭著的Zeus僵尸网络,它们都是利用浏览器中间人攻击,当被感染的用户访问特定的网站(这类网站通常为金融机构或金融服务的登录页面),则会注入恶意Javascript代码来进行捕获用户所输入的账号密码等信息。Dyreza家族新变种的主要功能是窃取用户银行账号和比特币。

3.2 Dyreza家族变种分析

1. 反虚拟机功能:
2006年英特尔发布双核处理器后,现今市场及用户电脑中已经很难见到单核处理器了。而自动化分析平台为节省资源,常常将虚拟机的处理器设置为单核处理器。Dyreza家族的新变种正是利用这种情况,对感染系统的处理器个数进行判断,如果少于2个,则样本直接退出。该判断在样本中出现多次,在后面核心的DLL模块中,也存在此功能。

图 7 判断处理器是否为单核CPU

2. 资源解密:
样本带有多个资源文件,将这些资源读取到内存后,根据内置的一个100字节的shellcode表来进行解密操作,得到核心的DLL功能模块。

图8 解密资源文件

3. 创建虚假的google升级服务:

图 9 创建虚假的google升级服务


4. 使用任务计划执行程序,每分钟执行一次:

图 10 每分钟运行一次自身


5. 在核心模块中,使用了跨平台的文件加密库bcrypt,将获取的本地信息进行加密操作。

图 11 使用的加密函数


6. Dyreza家族具有远程控制用户系统的功能,使用POST和GET方式与远程服务器进行通信。

图 12 使用POST和GET方式进行通信数


7. Dyreza家族的新变种可以在被感染的系统中添加一个管理员账号和密码,账号名为"lname0",密码为"1qazxsw2"。通过本地登陆验证是否添加成功。

图 13 创建管理员账号和密码

4 路由器防护建议

Dyreza家族木马通过入侵路由器的方式进行传播,恶意程序放置在路由器中很难被用户发现,而反病毒产品通常无法直接扫描路由器。因此,安天CERT建议用户使用以下几种路由器防护措施:
1. 不要使用路由器默认的口令,修改为高强度的口令。
2. 定期更新路由器固件,修复已出现的安全漏洞。
3. 关闭SSID广播,防止SSID被嗅探。
4. 使用安全性较高的WPA2协议、AES加密算法。
5. 禁用DHCP,开启MAC地址过滤,仅允许绑定的MAC地址访问无线网络。

5 总结

Dyreza家族以窃取用户银行账号和比特币为目的,以利用入侵的路由器进行传播为特点,应引起用户和企业的关注。在此之前,2014年4月份的CVE-2014-0160(心脏出血)漏洞即可入侵大量的路由器设备。安天CERT判定,Dyreza家族与Rovnix家族有着必然的联系,它们使用相同的Upatre下载者进行传播,并使用相似的下载地址。在本报告发布前,安天又捕获到一个更新的Dyreza变种,在传播方式上,它使用与Rovnix攻击平台相似的下载地址,都使用WordPress搭建的网站,或入侵由WordPress搭建的第三方正常网站。继HaveX首次使用这种传播方式后,这已成为安天CERT发现的第三个使用这种传播方式的家族了。安天CERT会继续跟踪使用这种方式传播的恶意代码,并持续关注HaveX、Rovnix、Dyreza这三个家族。

附录一:关于安天


安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

关于安天反病毒引擎更多信息请访问:

https://www.antiy.com(中文)
http://www.antiy.net (英文)

关于安天反APT相关产品更多信息请访问:

https://www.antiy.cn


 

 

微信扫描关注 安天