Ursnif银行木马分析与防御指南<\/h1>

一、样本概述<\/h2>

Ursnif（又称Gozi）是一款著名的银行木马，最早出现于2007年，主要针对金融行业。2010年其源代码泄露后，衍生出多种变种，功能不断增强。本分析基于2018年发现的最新变种样本。<\/p>

样本基本信息<\/strong>：<\/p>

MD5: D236F9AAD941974C2B44BF7DEBD2A19B<\/li>
C2地址: http:\/\/195.123.237.123<\/li>
解压密码: infected<\/li> <\/ul>
二、技术分析<\/h2>
1. 初始加载过程<\/h3>

加壳与脱壳<\/strong>：<\/p>

样本使用UPX加壳<\/li>
脱壳后显示真实恶意代码<\/li> <\/ul> <\/li>

环境准备<\/strong>：<\/p>

获取精确文件时间信息<\/li>
加载kernel32.dll和ntdll.dll<\/li>
通过GetModuleFileNameA获取文件路径<\/li> <\/ul> <\/li>

内存操作<\/strong>：<\/p>
; 典型内存操作代码 <\/span><\/span><\/span><\/span>call<\/span> GetCurrentProcess<\/span> <\/span><\/span>push<\/span> 0x40<\/span> <\/span><\/span>push<\/span> 0x1000<\/span> <\/span><\/span>push<\/span> 0xF4240<\/span> <\/span><\/span>push<\/span> 0<\/span> <\/span><\/span>call<\/span> VirtualAllocEx<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 2. 进程注入技术<\/h3> 样本采用Process Hollowing<\/strong>技术注入恶意代码：<\/p> 通过CreateProcessA创建挂起状态的进程<\/li> 使用GetThreadContext获取进程上下文<\/li> 分配内存并写入恶意数据<\/li> 通过SetThreadContext修改入口点<\/li> 使用ResumeThread恢复执行<\/li> <\/ol> 3. 多阶段Payload加载<\/h3> Payload1<\/strong>：<\/p> 负责解密.bss段数据<\/li> 判断操作系统架构（32\/64位）<\/li> 解密并加载Payload2<\/li> <\/ul> <\/li> Payload2<\/strong>（核心功能模块）：<\/p> 包含银行木马主要恶意功能<\/li> 采用多层解密技术隐藏真实代码<\/li> <\/ul> <\/li> <\/ol> 4. 核心恶意功能<\/h3> 信息收集<\/strong>：<\/p> ; 获取系统信息示例 <\/span><\/span><\/span><\/span>call<\/span> GetUserNameA<\/span> <\/span><\/span>call<\/span> GetComputerNameA<\/span> <\/span><\/span><\/code><\/pre><\/li> 键盘记录<\/strong>：<\/p> 设置Windows钩子(SetWindowsHookEx)<\/li> 记录所有键盘输入<\/li> 完成后卸载钩子(UnhookWindowsHookEx)<\/li> <\/ul> <\/li> 剪贴板监控<\/strong>：<\/p> 获取剪贴板数据<\/li> 特别关注金融相关的复制操作<\/li> <\/ul> <\/li> 屏幕截图<\/strong>：<\/p> 捕获用户屏幕<\/li> 可能针对特定窗口或全屏<\/li> <\/ul> <\/li> C2通信<\/strong>：<\/p> 解密出C2地址：195.123.237.123<\/li> 建立命名管道收集数据<\/li> 将窃取信息发送到远程服务器<\/li> <\/ul> <\/li> <\/ol> 三、防御措施<\/h2> 1. 检测指标(IOC)<\/h3> 文件哈希<\/strong>：<\/p> MD5: D236F9AAD941974C2B44BF7DEBD2A19B<\/li> <\/ul> <\/li> 网络指标<\/strong>：<\/p> C2地址: 195.123.237.123<\/li> 相关域名需监控<\/li> <\/ul> <\/li> <\/ul> 2. 技术防护<\/h3> 进程监控<\/strong>：<\/p> 监控可疑的Process Hollowing行为<\/li> 特别关注挂起状态创建的进程<\/li> <\/ul> <\/li> API钩取检测<\/strong>：<\/p> 检查SetWindowsHookEx等敏感API调用<\/li> 监控键盘记录相关活动<\/li> <\/ul> <\/li> 内存保护<\/strong>：<\/p> \/\/ 示例内存保护代码 <\/span><\/span><\/span><\/span>VirtualProtect(lpAddress, dwSize, PAGE_READONLY, &<\/span>oldProtect); <\/span><\/span><\/code><\/pre><\/li> 网络流量分析<\/strong>：<\/p> 检测异常HTTP请求<\/li> 特别关注金融数据的出站传输<\/li> <\/ul> <\/li> <\/ol> 3. 企业防护策略<\/h3> 终端防护<\/strong>：<\/p> 部署行为检测的EDR解决方案<\/li> 启用内存保护功能<\/li> <\/ul> <\/li> 邮件安全<\/strong>：<\/p> 加强钓鱼邮件检测<\/li> 金融部门需特别培训<\/li> <\/ul> <\/li> 网络分段<\/strong>：<\/p> 金融系统与其他网络隔离<\/li> 限制出站连接<\/li> <\/ul> <\/li> 多因素认证<\/strong>：<\/p> 关键系统强制MFA<\/li> 避免依赖单一认证因素<\/li> <\/ul> <\/li> <\/ol> 四、分析与取证指南<\/h2> 内存取证<\/strong>：<\/p> 使用Volatility分析进程注入<\/li> 搜索可疑的内存分配模式<\/li> <\/ul> <\/li> 网络取证<\/strong>：<\/p> 分析HTTP流量中的异常请求<\/li> 提取C2通信特征<\/li> <\/ul> <\/li> 磁盘取证<\/strong>：<\/p> 查找UPX加壳的可执行文件<\/li> 检查近期创建的可疑文件<\/li> <\/ul> <\/li> 注册表取证<\/strong>：<\/p> 检查Run键中的持久化条目<\/li> 查找可疑的钩子注册<\/li> <\/ul> <\/li> <\/ol> 五、总结与预测<\/h2> Ursnif作为长期活跃的银行木马家族，结合了多种高级技术：<\/p> 技术特点<\/strong>：<\/p> 多阶段加载规避检测<\/li> 内存驻留避免文件落地<\/li> 针对金融交易的关键节点<\/li> <\/ul> <\/li> 发展趋势<\/strong>：<\/p> 可能与其他恶意软件(如Emotet)协同<\/li> 针对新型金融平台扩展功能<\/li> 采用更多无文件技术<\/li> <\/ul> <\/li> 防御建议<\/strong>：<\/p> 定期更新威胁情报<\/li> 实施纵深防御策略<\/li> 金融行业需特别加强防护<\/li> <\/ul> <\/li> <\/ol> 本分析报告提供了Ursnif银行木马的详细技术细节和防御方案，安全团队可根据这些信息构建针对性的防护措施。<\/p>