最新乌斯尼夫新闻
- 研究人员发现恶意软件 Ursnif 使用的 C2 基础设施(网络安全)
- 谷歌广告推送为躲避杀毒软件而制作的 "虚拟化 "恶意软件(BleepingComputer)
- Ursnif 恶意软件从银行账户盗窃转向初始访问(BleepingComputer)
- 2021 年 11 大 Maware 病毒--以及如何阻止它们(BlackBerry 博客)
乌斯尼夫年表
2000:Ursnif 由臭名昭著的俄罗斯恶意软件开发者 Alexey Ivanov(又名 subbsta)开发
2006:Ursnif 窃取器的功能与恶意软件 Nuclear Grabber 的僵尸网络和指挥与控制 (C2) 功能相结合,创建了 Gozi
2010:新版本 Gozii-ISFB 从泄漏的 Gozi 源代码中出现,并成为 Ursnif 的主要菌株
2014:出现了可通过TOR 网络运行的 Ursnif 变种 Dreambot,并一直流行到 2020 年
2014:Vawtrak(又名 Catch、grabnew、NeverQuest)出现。虽然基于最初的 Gozi 代码,但它被广泛分叉成其成功的银行木马,通过 VNC 远程桌面监视目标并窃取数据,以及复杂的网络注入,从登录银行和加密网站的用户处窃取会话凭证和 MFA 令牌。
2016:GozNym 银行恶意软件结合了恶意软件菌株 Nymaim 的隐蔽性和 Ursnif 的 Gozii-ISFB 菌株的功能。2019 年,它引发了欧洲刑警组织史无前例的国际执法行动
2020:LOLsnif(又名 Goziat),因其 "离地而居 "的探测规避技术而得名,提高了乌斯尼夫的知名度
Ursnif 获取初始访问权限的第一阶段策略与其他恶意软件类似,包括电子邮件附件、恶意网站和木马应用程序。最近一次成功的 Ursnif 活动涉及一种特别狡猾和引人注目的技术:使用窃取的电子邮件凭据向正在进行的对话中注入鱼叉式钓鱼回复。这些被注入的邮件会引导收件人打开一个恶意附件,该附件会执行 Ursnif 的第二阶段有效载荷。
Ursnif 的初始访问有效载荷通常要求目标启用 Microsoft Office 宏,这样就可以从攻击者控制的服务器获取预编译的可执行文件,并在目标系统上执行。第二阶段过程开始时,Ursnif 会窃取它能找到的任何用户凭证,连接到命令与控制 (C2) 服务器,并下载和安装附加的第二阶段模块。
最新版本的 Ursnif 试图使用一种名为 LOLBins(Living Off the Land Binaries 的缩写)的技术来逃避检测,该技术利用本地 Windows 软件工具(如powershell.exe、mshta.exe)而非导入工具来实现其目标。为了提高隐蔽性,较新版本的 Ursnif 会链接到 Google Drive URL,以避免使用安全产品会识别的受阻域名或 IP 地址。Ursnif 还使用受密码保护的 ZIP 文件,确保其有效载荷在进入网络时被加密,以躲避不太先进的安全产品。
Ursnif 的模块化功能
- 从常用的电子邮件、浏览器和 FTP 客户端收集信息和凭证
- 监视和窃取用户按键、屏幕截图和剪贴板数据
- 通过在流行的银行和加密货币交易所网站上插入额外代码(即网络注入)来拦截和修改浏览器流量,从而获取凭证,包括多因素身份验证(MFA)令牌,并劫持用户账户
- 向被入侵系统上传和下载文件
- 使用基于 SOCKS 的连接建立 VNC 远程桌面访问,以进行监控和远程访问
- 域名生成算法 (DGA) 动态创建域名并将其用作 C2 以避免识别和封锁
乌斯尼夫攻击的迹象
最近,Ursnif 已经成功地在波兰、意大利和日本等个别国家的活动中发送了语法正确、听起来很专业的垃圾邮件内容,这些内容向公民展示了有关当地政策的合理知识水平。这些活动以金融业为目标,看似提供了与不断变化的税收政策或其他监管影响相关的重要信息。
从技术角度看,Ursnif 屏蔽的一些域名、IP 地址和恶意软件文件哈希值可用于检测进入网络的恶意软件。然而,这些基于签名的检测方法在检测新型恶意软件方面存在已知的局限性;Ursnif 的最新版本使用 DGA 来防止其 C2 域名和 IP 地址被检测到。
如何预防 Ursnif 攻击
预防 Ursnif 攻击的最有效策略与防御其他恶意软件的策略类似,这些恶意软件使用常见的第一阶段攻击载体,如使用木马化 Microsoft Office 文档和被盗凭证进行网络钓鱼。
