新型Ursnif銀行木馬：添加滑鼠移動反檢測技術

2021/12/25

E安全7月27日訊 2017年7月，安全研究人員發現新型Ursnif銀行木馬利用巧妙的技術規避沙盒環境和自動化虛擬機，並根據滑鼠移動檢測真實用戶是否在與計算機交互。

它的總體思路是檢測滑鼠游標的位置是否會移動，因為在安全測試與惡意軟體分析環境中，滑鼠游標在整個掃描和分析過程中會停留在同一位置。

Ursnif慣用技巧

Ursnif銀行木馬已經成為新惡意軟體技術的滋生土壤。2016年夏天，Ursnif一直使用Tor匿名網路隱藏命令與控制伺服器（C&C Server）。Ursnif 在此期間還測試並部署了其它創新反檢測和虛擬機規避技術。以下是Ursif去年部署的技巧：

提交用於分析的文件通常被重命名為它們的MD5或SHA256哈希值，且僅使用十六進位字元——0123456789ABCDEFabcdef。如果Ursnif發現本地文件包含字母、數字、字元，例如t、R或#，它便知道自己在普通PC上運行。

虛擬機運行少量進程，以及非常少的圖形界面進程。如果Ursnif樣本發現進程數少於50個，便會停止執行，並思考自己是否在虛擬機內。

Ursnif會獲取計算機的IP地址，並將其與安全公司或數據中心（研究人員租賃虛擬機的地方）分配的IP地址列表對照。

Ursnif會檢查最近打開的文件數量。虛擬機上最近打卡的文件數量通常很少，因為沒有用戶使用該系統執行常規任務。

這些只是Ursnif去年部署的其中一些技巧。

通過三個嵌入式DLL文件進行部署

網路安全公司Forcepoint分析了Ursnif最近一起活動后發現，新版Ursnif今年4月開始使用滑鼠移動檢測技術。受害者會接收攜帶密碼保護ZIP文件的垃圾電子郵件。解壓此文件的受害者會看到三個Word文檔。Word文檔包含相同的惡意宏腳本。攻擊者使用三個文件提高用戶打開並遭遇感染的幾率。

如果允許運行宏，Word文檔會下載一個DLL文件，該文件會解壓成另一個DLL文件，之後解壓到第三個安裝銀行木馬的DLL文件。

滑鼠移動軌跡不僅可以用來檢測是否存在真實操作用戶或虛擬機，還能被用來暴力破解第二個DLL文件中的加密密鑰，並用來獲取第三個DLL文件。總之，Ursnif攻擊者慣用這種高超的技巧。

該版Ursnif最不尋常的部分在於，它重點提取Mozilla Thunderbird電子郵件客戶端的聯繫人和密碼，而非專註於竊取特定銀行的登錄憑證。

Forcepoint研究人員約吉高表示，該樣本使用Thunderbird相關功能的原因尚不清楚，這可能是Ursnif攻擊者首次嘗試此類活動，這可能意味著Ursnif會在今後的版本中涉及更多電子郵件客戶端或應用程序。