Grandoreiro银行木马分析与防御指南<\/h1>

1. Grandoreiro木马概述<\/h2>
Grandoreiro是一种多组件银行木马，采用恶意软件即服务(MaaS)模式运作，自2024年3月以来活跃于全球60多个国家，专门针对1500多家全球银行应用程序和网站。<\/p>

关键特征：<\/h3>

采用改进的字符串解密和域名生成算法(DGA)<\/li>
利用受感染主机的Microsoft Outlook客户端传播钓鱼邮件<\/li>
支持远程控制、键盘记录、浏览器操作等多种功能<\/li>

针对加密货币钱包和银行安全软件的特殊检测<\/li> <\/ul>

2. 感染链分析<\/h2>

2.1 初始传播方式<\/h3>

通过大规模网络钓鱼攻击传播，冒充：<\/p>

墨西哥税务局(SAT)<\/li>
墨西哥联邦电力委员会(CFE)<\/li>
阿根廷税务局(AFIP)<\/li>

南非税务局(SARS)<\/li> <\/ul>

2.2 加载器分析<\/h3>

加载器特点：<\/p>

文件体积膨胀至100MB以上以规避AV扫描<\/li>
显示伪造的Adobe PDF验证码弹窗要求用户交互<\/li>

执行三重验证：受害者合法性检查、数据枚举、载荷下载<\/li> <\/ul>

字符串解密算法<\/h4>

import<\/span> base64
<\/span><\/span>
<\/span><\/span>def<\/span> decode_key<\/span>(key):
<\/span><\/span>    # Triple Base64解码<\/span>
<\/span><\/span>    key =<\/span> base64.<\/span>b64decode(base64.<\/span>b64decode(base64.<\/span>b64decode(key)))
<\/span><\/span>    # 十六进制字符转换为字节<\/span>
<\/span><\/span>    key =<\/span> bytes.<\/span>fromhex(key.<\/span>decode())
<\/span><\/span>    return<\/span> key
<\/span><\/span>
<\/span><\/span>def<\/span> decrypt_string<\/span>(encrypted_string, key):
<\/span><\/span>    decrypted_string =<\/span> ''<\/span>
<\/span><\/span>    for<\/span> i in<\/span> range(len(encrypted_string)):
<\/span><\/span>        decrypted_byte =<\/span> encrypted_string[i] ^<\/span> key[i %<\/span> len(key)]
<\/span><\/span>        decrypted_string +=<\/span> chr(decrypted_byte)
<\/span><\/span>    return<\/span> decrypted_string
<\/span><\/span><\/code><\/pre>受害者验证机制<\/h4>
检查以下信息与硬编码值比对：<\/p>

计算机名称和用户名<\/li>
操作系统版本<\/li>
安装的防病毒软件<\/li>
公共IP地理位置(通过ip-api.com\/json获取)<\/li>
运行进程列表<\/li>
<\/ul>
特定国家\/地区会被阻止：<\/p>

俄罗斯、捷克、波兰和荷兰的IP<\/li>
美国未安装AV的Windows 7机器<\/li>
<\/ul>
3. 持久性机制<\/h2>
3.1 注册表修改<\/h3>
创建Run键实现持久化：<\/p>
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run \/v "Grandoreiro" \/t REG_SZ \/d "C:\ProgramData\[目录]\[载荷].exe" \/f
<\/code><\/pre>
3.2 配置文件存储<\/h3>

路径：C:\Public\<\/code>目录下的.XML文件<\/li>
内容：加密存储可执行文件名、路径和感染日期<\/li>
<\/ul>
4. 目标应用程序<\/h2>
4.1 银行应用程序目标<\/h3>
针对1500+全球银行应用，按地区分类：<\/p>

欧洲、北美、中美、南美、非洲、印太地区和全球岛屿<\/li>
每个区域有专用Delphi类进行检测<\/li>
<\/ul>
4.2 加密货币钱包检测<\/h3>
专门检测266个唯一字符串，针对：<\/p>

Binance、Electrum、Coinomi<\/li>
Bitbox、OPOLODesk、Bitcoin<\/li>
<\/ul>
4.3 银行安全软件检测<\/h3>
检查是否存在：<\/p>

IBM Trusteer<\/li>
Topaz OFD<\/li>
Diebold<\/li>
<\/ul>
5. 域名生成算法(DGA)<\/h2>
5.1 DGA工作机制<\/h3>

每天生成至少12个不同C2域名<\/li>
使用14个不同种子生成功能特定域名<\/li>
域名组成：顶级域+月份转换+日期字符替换<\/li>
<\/ul>
5.2 DGA示例(2024年4月17日)<\/h3>

主种子："xretsmzrb"<\/li>
月份转换："04" → "oit"+"zia"<\/li>
日期字符替换：17日 → "wondbbhonandhnd"<\/li>
完整域名：wondbbhonandhnd.oitzia.xretsmzrb.dnsfor[.]me<\/li>
<\/ol>
5.3 端口计算<\/h3>
基于C2服务器IP前四位数字，通过自定义数字映射生成4位端口号<\/p>
6. 命令与控制功能<\/h2>
6.1 远程控制功能<\/h3>

鼠标控制：移动、点击、隐藏\/显示<\/li>
键盘输入模拟(包括特殊键)<\/li>
窗口管理：列表、关闭、恢复、最大化<\/li>
进程管理：列表、终止(PID)<\/li>
<\/ul>
6.2 浏览器操作<\/h3>
支持浏览器：<\/p>

MS Edge、Chrome、Internet Explorer<\/li>
Firefox、Opera、Brave<\/li>
<\/ul>
特殊功能：<\/p>

执行JavaScript模拟按钮点击<\/li>
自动填写表单和提交<\/li>
针对特定银行URL(如Banco Banorte)<\/li>
<\/ul>
6.3 其他功能<\/h3>

摄像头查看器启动\/停止<\/li>
键盘记录器启动\/停止<\/li>
文件上传\/下载<\/li>
接收BMP\/XML文件(伪造验证窗口)<\/li>
<\/ul>
7. Outlook传播模块<\/h2>
7.1 电子邮件收集<\/h3>
三种收集机制：<\/p>

遍历Outlook邮箱文件夹，提取发件人地址<\/li>
添加PST文件通过Namespace.AddStore()<\/li>
文件系统扫描特定扩展名文件中的邮件地址<\/li>
<\/ol>
黑名单过滤：<\/p>

排除包含"noreply"、"no-reply"等地址<\/li>
排除系统目录路径<\/li>
<\/ul>
7.2 垃圾邮件发送<\/h3>
使用钓鱼模板，填充占位符：<\/p>

$replyto<\/code>：回复地址<\/li>
$link<\/code>：恶意载荷链接<\/li>
$valor<\/code>：随机生成的发票金额<\/li>
$assunto<\/code>：邮件主题<\/li>
<\/ul>
反检测措施：<\/p>

自动关闭弹出的对话框<\/li>
清除"已发送"邮件<\/li>
确保用户5分钟内无操作才发送<\/li>
<\/ul>
8. 防御建议<\/h2>
8.1 技术防护措施<\/h3>


邮件过滤<\/strong>：<\/p>

实施高级邮件安全解决方案<\/li>
阻止带有ZIP附件的可疑邮件<\/li>
<\/ul>
<\/li>

终端防护<\/strong>：<\/p>

部署行为检测型EDR解决方案<\/li>
监控注册表Run键修改<\/li>
阻止对C:\Public\<\/code>和C:\ProgramData\<\/code>的可疑写入<\/li>
<\/ul>
<\/li>

网络防护<\/strong>：<\/p>

阻断与ip-api.com\/json的连接<\/li>
监控DoH(DNS over HTTPS)请求<\/li>
阻止已知Grandoreiro DGA域名<\/li>
<\/ul>
<\/li>
<\/ol>
8.2 用户教育<\/h3>

警惕声称来自税务或电力机构的紧急邮件<\/li>
勿点击邮件中的PDF\/XML查看链接<\/li>
验证发件人地址真实性<\/li>
<\/ul>
8.3 企业防护<\/h3>

限制Outlook Security Manager使用<\/li>
监控Outlook API异常调用<\/li>
实施应用程序白名单<\/li>
<\/ul>
9. 检测指标(IoC)<\/h2>
9.1 文件特征<\/h3>

大型可执行文件(>100MB)<\/li>
伪装PDF图标的可执行文件<\/li>
常见文件名模式：SARS [数字] eFiling [数字].exe<\/code><\/li>
<\/ul>
9.2 注册表项<\/h3>
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Grandoreiro
HKLM\Software\Clients\Mail
<\/code><\/pre>
9.3 网络特征<\/h3>

DoH请求：https:\/\/dns.google\/resolve?name=<C2 server><\/code><\/li>
C2通信包含字符串：CLIENT_SOLICITA_DD_FULL<\/code>等<\/li>
<\/ul>
10. 总结<\/h2>
Grandoreiro是功能全面的银行木马，具有：<\/p>

高级规避技术(字符串加密、DGA)<\/li>
广泛的目标覆盖(1500+银行应用)<\/li>
多阶段感染链<\/li>
自我传播能力(Outlook滥用)<\/li>
<\/ul>
防御需要多层防护策略，结合技术控制与用户教育，特别警惕冒充政府机构的钓鱼邮件。<\/p>

Grandoreiro银行木马分析与防御指南<\/h1>

1. Grandoreiro木马概述<\/h2> Grandoreiro是一种多组件银行木马，采用恶意软件即服务(MaaS)模式运作，自2024年3月以来活跃于全球60多个国家，专门针对1500多家全球银行应用程序和网站。<\/p>

2. 感染链分析<\/h2>

3. 持久性机制<\/h2>

4. 目标应用程序<\/h2>

5. 域名生成算法(DGA)<\/h2>

5.3 端口计算<\/h3> 基于C2服务器IP前四位数字，通过自定义数字映射生成4位端口号<\/p>

6. 命令与控制功能<\/h2>

7. Outlook传播模块<\/h2>

8. 防御建议<\/h2>

9. 检测指标(IoC)<\/h2>

1. Grandoreiro木马概述<\/h2>
Grandoreiro是一种多组件银行木马，采用恶意软件即服务(MaaS)模式运作，自2024年3月以来活跃于全球60多个国家，专门针对1500多家全球银行应用程序和网站。<\/p>

5.3 端口计算<\/h3>
基于C2服务器IP前四位数字，通过自定义数字映射生成4位端口号<\/p>