live mail(livemail邮件存储位置)这都可以

2018年的黑客攻击方式已经发生了明显的转变，从过去直接实施大规模的、具有瞬间破坏性的勒索软件活动转变成了如

 

2018年的黑客攻击方式已经发生了明显的转变，从过去直接实施大规模的、具有瞬间破坏性的勒索软件活动转变成了如今专注于利用银行木马在Proofpoint的研究人员目前观察到的电子邮件攻击样本中，银行木马占了将近60％的恶意载荷量。

现在，一种新的银行木马——DanaBot已经出现，它直接扩大了电子邮件攻击的数量级，并增加了恶意邮件活动的多样性Proofpoint的研究人员发现了一种名为“DanaBot”的新型银行木马病毒，该木马通过包含恶意URL的电子邮件来对澳大利亚的用户发起攻击。

DanaBot是用Delphi编写的恶意软件，目前它仍在实验开发阶段迄今为止，研究人员只观察到一名黑客使用了它但是，考虑到该黑客经常活跃于黑市，因此最后的传播和使用结果是否会变得广泛还有待观察研究人员还在恶意软件库中发现了其他样本，而这些样本并不是研究人员在野外观察到的，这就意味着，有其他攻击者使用了DanaBot。

DanaBot的发现过程研究人员首次在2018年5月6日将DanaBot定性为以澳大利亚为攻击目标的电子邮件攻击活动，并在其中发现了有效载荷这些邮件使用了“核对收费帐单”的主题，如果用户点开了Word附件里的网址，那就会被重定向到其他网站上，比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc。

来自2018年5月6日DanaBot活动的电子邮件样本该Word文档包含一个宏，如果启用的话，它就可以使用来自hxxp://bbc[.]lumpens[.]org/tXBDQjBLvs.php的PowerShell命令来下载DanaBot。

该有效载荷只能用于位于澳大利亚的潜在受害者，攻击时，后台服务器将检查客户的IP地理位置另外，该文档还包含用于社会工程的手段，它在文档的首页会标明自己已经受到某某安全供应商的保护，下图中的品牌被模糊了

“Account Statement_Mon752018.doc”文档的屏幕截图DanaBot最近再次出现，则是在5月28日至30日之间，这次，它依然以澳大利亚为攻击目标，且电子邮件活动中还加了很多有效载荷。

这些电子邮件使用了许多主题，例如：· 证书“123456789”· 文档“123456789”· Document12345-678· GT123456789· 发票和跟踪代码12345678· 来自John Doe的发票

这一次，电子邮件包含链接到FTP服务器上的压缩JavaScript的URL，包括ftp://kuku1770:GxRHRgbY7@ftp[.]netregistry[.]net/0987346-23764.zip。

JavaScript如果执行，则从 hxxp://members[.]giftera[.]org/whuBcaJpqg.php上下载DanaBot当然，服务器在下载JavaScript之前，还是要检查了受害者的地理位置。

DanaBot的功能介绍DanaBot是一个包含银行网站注入和窃取用户金融信息功能的木马，它包含一个下载器组件，该组件用于下载包含主DLL的加密文件不过，DLL却使用的是原始TCP连接的方式，来连接到端口443并下载其他模块，包括：。

· VNCDLL.dll - “VNC”· StealerDLL.dll - “Stealer”· ProxyDLL.dll - "Sniffer"恶意软件还会下载配置文件，例如：· 嗅探模块的目标站点列表

· 银行网站注入· 要加密的货币流程和文件列表最后，它还将文件上传到命令和控制（C＆C）服务器，包括：· 详细的系统信息· 用户桌面的屏幕截图· 用户硬盘上的文件列表所有上传和下载都使用Microsoft CryptAPI AES256算法加密。

恶意软件分析目前，恶意软件正在积极开发和测试阶段，目前似乎有两个版本其中研究人员在5月6日和7日左右的活动中观察到是第一个版本，而第二个版本则在5月29日左右出现然而，研究人员在对恶意软件库中的数据进行分析时，却发现了更早的样本，出现在4月中旬之前，不过研究人员还没有在野外看到这些样本的利用案例。

下载器组件下载器组件与C＆C服务器通信，并发送一个初始签入信标，其中包含有关URL参数中编码的关于受感染设备的报告，它发出如下所示的请求：

由旧版本的恶意软件生成的网络请求

新版恶意软件生成的网络请求，其中包含一组扩展的URL参数在这些网络请求中，“e =”参数是用于使用Microsoft CryptAPI的CryptDeriveKey和CryptDecrypt使用MD5散列和AES算法来解密下一阶段有效载荷的密钥。

下表中提供了其他参数的解释：

被感染的客户端向C＆C发送的键-值对的说明为了响应下载器的初始签入，C＆C服务器会发送下一阶段的DLL使用RSA算法和以下公钥对DLL进行加密验证： MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOmbQ1gGQtE8PUhjKIETLaSSEcJGp9O0gyckoyrIfb4l4BZqLKAkDGm59lUxSFWPCINQOMQvgvDYydMOyMvABtmi4c0yb4te8dXE0xVxTQmnxGV9pAf3gfcEg3aqBne/7AQmS+0fFUpccX+huz4Sys415+6lwVPX2A3RA60ToS6wIDAQAB。

有效载荷DLL会使用“rundll32.exe”和参数“＃1”来调用，随后，使用参数＃2，＃3等调用它主DLL组件主DLL会使用原始TCP与端口443进行通信研究人员观察到主DLL组件下载了更多DLL模块，例如VNC，Sniffer和Stealer以及配置文件，所有这些模块都使用Microsoft CryptAPI以类似方式加密。

同样，使用不同于上面指出的公钥的RSA算法验证下载： MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpQbDeOOrFbGOuu989TSd1+sJJgi1WFiYV0RInlLkAAv1XZwUodBJRMyNWeKPHg40dn9oseicUScBH3lQb5fRvwm9QoppN5DIhiK9au8yzhm6/BGDUuVfK+vDlutanjYLAnz/Wp/W9bofUe5Ej3WZo2w1TX/KpjiO/gB/+4vf75wIDAQAB

主组件下载的模块

主组件下载的配置文件研究人员还观察到DanaBot会将文件上传到C＆C，每个文件都使用Deflate算法进行压缩，并使用随机AES密钥进行加密而密钥本身似乎用一个RSA公钥加密并附加到上传的文件中然而，解密将需要匹配的RSA私钥，这大概只对恶意软件操作员可用。

DanaBot的主组件上传的文件以下RSA公钥专门用于系统信息上传，而其他文件的上传则使用与模块下载相同的密钥： MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCilEDyzfbBKas+W2brWstcdKfYWgAl79oHSmdACo7zVCSkqJPocK3u3naHuFD3rYTTkEQbj6IaTNi1vn6eceNedExEu3ppOvxzRKqCOUOB+yQbz9Hv8xzsh0QnlJzcuLZHDhCDWoKwMbNU2/AXiVR5w7wFus8H3Gkr8MQZxt/bEwIDAQAB

在经过深入细致地分析后，第二次发现的DanaBot的下载模块则由一个头部，一个AES加密文件和一个RSA签名组成。例如，研究人员会重点介绍第二次发现的DanaBot中下载的VNC模块。

VNC模块中的hexdump

对下载的模块有效载荷的说明配置文件下面提供了一些DanaBot下载的配置文件的值：*m.adnxs.com/ut/v3**.youtube.com*event=streamingstats**.youtube.com/api/stats/*

*outlook.live.com/owa/service.svc?action=LogDatapoint&**clientservices.googleapis.com**clients4.google.com*

*connect.facebook.net/log/**.mozilla.org**.mozilla.com**syndication.twitter.com/**cws.conviva.com**api.segment.io*

*as-sec.casalemedia.com**yunify.chicoryapp.com**oauth20_token.srf**Exchange/ucwa/oauth/v1/**beacons.gcp.gvt2.com*

*.facebook.com**.facebook.com/login.php?**mc.yandex.ru/webvisor**api.logmatic.io/v1/**sot3.mavenhut.com*

*erlang.simcase.ru/api/**sentry.io/api**dsn.algolia.net/1**t.urs.microsoft.com**.paypal.com/webapps/hermes/api/log*

*.netflix.com**s.update.fbsbx.com**.youtube.com/youtubei/v1/**p.cybertonica.com**webmail.subwayadmin.com.au*

*email.telstra.com/webmail/**.googleapis.com*http://**outlook.office365.com/owa/service.svc?**outlook.office.com/owa/service.svc?*

*outlook.live.com/owa/service.svc?**mail.google.com/mail/u/0/**.client-channel.google.com**bam.nr-data.net*

*browser.pipe.aria.microsoft.com**client-s.gateway.messenger.live.com**notifications.google.com**.google.com/recaptcha/api2/*

*.bing.com**.youtube.com**bidder.criteo.com**.demdex.net/event?**insights.hotjar.com/api**nexus-long-poller-b.intercom.io*

*.icloud.com/**s.acexedge.com**s.update.**vid-io.springserve.com**vuws.westernsydney.edu.au*嗅探器过滤器列表（旧版本为“PFUrlU”配置文件）以及新版本配置文件（“Pflilter”）在研究人员的测试中仅包含一个“* mozilla *”目标，表明这可能是白名单。

set_url *my.commbank.com.au/netbank* GPdata_beforedata_enddata_inject

data_enddata_after

data_enddata_afterdata_endset_url *my.commbiz.commbank.com.au* GPdata_beforedata_enddata_inject

data_enddata_after

data_enddata_afterdata_endWeb注入配置文件（旧版本中为“InjFirst”，新版本中为“PInject”，添加到URL中的括号里）*-QT*.EXE**ETHEREUM*.EXE*

*DECENT.EXE**ELECTRON*.EXE**ELECTRUM*.EXE**ZCASH*.EXE**EXPANSE*.EXE**SUMOCOIN*.EXE**BITCONNECT*.EXE**IOTA*.EXE*

*KARBOWANEC.EXE**ARKCLIENT.EXE**ZCLASSIC*WALLET.EXE**PASCALCOINWALLET.EXE*加密电子货币流程（旧版本中为“BVideo”和“Bkey”配置文件，新版本中为“BitVideo”和“BitKey” 配置文件，将字体进行斜化处理的行为仅出现在旧版本中）

*\WALLETKEYS.DAT**\DEFAULT_WALLET**\WALLET.DAT*CryptoCurrency文件（旧版本中为“CFiles”配置文件，新版本中为“BitFiles”;斜体文件仅出现在旧版本中）

Stealer模块研究人员观察到，目前stealer模块的攻击目标仅仅是Windows Live Mail和Outlook等邮件客户端另外，它还针对Miranda，Trillian和Digsby等即时通讯工具; FTP客户端，如WS_FTP，FileZilla和SmartFTP，并检查浏览器的历史记录。

针对浏览器信息的Stealer模块

针对FTP客户端的Stealer模块（实际列表要长得多）

总结正如以上分析的那样，研究人员只观察到DanaBot被一名攻击者使用过，目前该样本已被Proofpoint定义为TA547然而，这种趋势可能会改变，因为这位攻击者非常有名，在他的作用下，很可能会将DanaBot“发扬光大”。

自2017年11月起，TA547就和许多其他攻击有关联这些攻击的目标经常是为澳大利亚、德国、英国和意大利等国其中包括的恶意软件有ZLoader（又名Terdot），Gootkit，Ursnif，Corebot，Panda Banker，Atmos，Mazar Bot和Red Alert Android恶意软件。

值得注意的是，在公共恶意软件存储库中，除了发现于研究人员找到的DanaBot样本，它还包含其他的野外利用活动，该活动含有ID（“a =”参数），这表明研究人员还没有观察到所有的DanaBot活动最后，要特别提一下，DanaBot在其技术实现和技术选择方面与早期恶意软件有某些相似之处，特别是和Reveton勒索软件及CryptXXX关联很大，它们也是用Delphi编写的，并使用原始TCP到端口443进行通信。

这些恶意软件还在C＆C通信的风格方面具有相似之处经过近两年对勒索软件活动的追踪，研究人员发现，攻击者似乎越来越倾向于那些动静较小的恶意软件，如银行木马和信息窃取软件DanaBot就是恶意软件的最新例子，其重点就在于窃取有用的信息，然后将这些信息进行买卖，而不是像原来那样要求受害者立即支付赎金。

到目前为止，研究人员观察到的DanaBot活动中的社交工程的手段设计非常精密，这再次表明采用电子邮件攻击又被黑客重新重视了起来DanaBot的模块化特性使其能够下载更多组件，从而增加了银行攻击的灵活性、强大的窃取能力以及远程监控能力。

另外，研究人员将继续深入研究这种新型恶意软件，并监控其攻击目标的变化。IOCs