传播GandCrab和Ursnif的攻击活动分析
字数 1756 2025-08-06 08:35:14

GandCrab和Ursnif攻击活动技术分析报告

1. 攻击活动概述

Carbon Black ThreatSight团队发现一起复杂的攻击活动,成功后可同时感染Ursnif恶意软件和GandCrab勒索软件。攻击者使用了多种红队技术和网络犯罪常用手法。

攻击链流程:

  1. 钓鱼邮件携带恶意Word文档
  2. 文档中的恶意宏执行编码的PowerShell脚本
  3. PowerShell下载并执行Ursnif和GandCrab变种

2. 初始感染载体分析

2.1 恶意Word文档特征

  • 格式:.doc格式Word文档
  • 样本数量:约180个变种
  • 变种差异:主要在于恶意宏中的metadata和junk data
  • 文档元数据:
    • 最早保存日期:2018年12月17日
    • 最近更新日期:2019年1月21日
    • Subject字段:使用美国州名和常见姓名

2.2 恶意宏分析

  • 宏类型:VBS宏
  • 代码特征:
    • 总行数约650行
    • 大部分为垃圾代码
    • 核心功能代码约18行

核心代码功能:

Sub AutoOpen()
    Set QWxwqfqgHttm = ThisDocument
    Set FXpVcBPxzVsJ = QWxwqfqgHttm.Shapes("4obka2etp1318a")
    faaQXNtRqmxB = FXpVcBPxzVsJ.AlternativeText
    npNsCwDavJ = Array(HpTNHpSpmZgp, BlmmaRvZMLP, tRzpZFwJWJcCj, tPJRanNbKWZPrd,Interaction@.Shell(CleanString(faaQXNtRqmxB), 231 * 2 + -462), RfjXGpzMtcrz, hfbZCRXCJQPJQ)
  • 攻击手法:
    • 从文档特定Shape中提取AlternativeText内容
    • AlternativeText中包含Base64编码的命令
    • 解码并执行这些命令

3. PowerShell攻击阶段分析

3.1 第一阶段PowerShell脚本

  • 创建.Net Webclient类实例
  • 使用GetMethods()枚举可用方法
  • 关键方法调用:
    • DownloadString方法:
      • 联系硬编码C2服务器下载文件
      • 在内存中执行下载的字符串内容
    • DownloadData方法:
      • 从第二个C2下载资源
      • 保存位置:C:\ProgramData
      • 使用硬编码文件名
      • 使用DCOM对象CLSID(C08AFD90-F2A1-11D1-8455-00A0C91F3880)实例化ShellBrowserWindow对象
      • 调用ShellExecute方法执行

3.2 GandCrab下载执行流程

  1. 通过DownloadString下载的payload:

    • 单行PowerShell脚本
    • 评估系统架构(x86/x64)
    • 从pastebin.com下载额外payload
    • 内存中执行

  2. Pastebin下载内容:

    • 约2800行PowerShell脚本
    • 基于Empire Invoke-PSInject模块修改
    • 修改内容:
      • 移除注释
      • 重命名变量
    • 功能:将base64编码的PE文件注入当前PowerShell进程

  3. GandCrab样本特征:

    • 版本:5.0.4
    • 文件信息: 
      File Name: krab5
File Size: 133,632 bytes
MD5: 0f270db9ab9361e20058b8c6129bf30e
SHA256: d6c53d9341dda1252ada3861898840be4d669abae2b983ab9bf5259b84de7525
Compiled Time: Mon Oct 29 17:39:23 2018 UTC
PE Sections: .text, .rdata, .data, .rsrc, .reloc
Original DLL: krab5.dll

3.3 Ursnif下载执行流程

  • 通过DownloadData方法下载
  • 保存位置:C:\ProgramData\随机文件名
  • 功能:
    • 凭证窃取
    • 系统和进程信息收集
    • 其他Ursnif典型行为
  • 样本分布:
    • bevendbrec.com站点
    • iscondisth.com站点
    • 共发现约200个不同变种

4. 攻击基础设施分析

4.1 C2服务器

  • 主要域名:
    • bevendbrec[.]com
    • iscondisth[.]com

4.2 样本关联分析

  • 使用VirusTotal Graph功能对180个变种进行分类
  • 分类依据:
    • 元数据
    • 文档结构
    • C2基础设施

5. 防御建议

5.1 检测指标

  • 文档中可疑的Shape对象和AlternativeText属性
  • 调用ShellBrowserWindow CLSID(C08AFD90-F2A1-11D1-8455-00A0C91F3880)的行为
  • 从pastebin.com下载并执行PowerShell脚本的行为
  • 以下目录的可疑文件创建:
    • C:\ProgramData\

5.2 防护措施

  1. 宏安全:

    • 禁用Office文档中的宏执行
    • 对必须使用宏的场景实施严格审核

  2. PowerShell防护:

    • 启用PowerShell脚本块日志记录
    • 限制PowerShell的下载和执行能力

  3. 网络防护:

    • 阻止对pastebin.com等文本共享站点的企业访问
    • 监控对已知恶意域名的访问(bevendbrec.com, iscondisth.com)

  4. 端点防护:

    • 部署能够检测反射型DLL注入的行为检测方案
    • 监控内存中的可疑PE加载行为

  5. 用户教育:

    • 培训用户识别钓鱼邮件特征
    • 强调不要启用可疑文档中的宏
GandCrab和Ursnif攻击活动技术分析报告 1. 攻击活动概述 Carbon Black ThreatSight团队发现一起复杂的攻击活动,成功后可同时感染Ursnif恶意软件和GandCrab勒索软件。攻击者使用了多种红队技术和网络犯罪常用手法。 攻击链流程: 钓鱼邮件携带恶意Word文档 文档中的恶意宏执行编码的PowerShell脚本 PowerShell下载并执行Ursnif和GandCrab变种 2. 初始感染载体分析 2.1 恶意Word文档特征 格式:.doc格式Word文档 样本数量:约180个变种 变种差异:主要在于恶意宏中的metadata和junk data 文档元数据: 最早保存日期:2018年12月17日 最近更新日期:2019年1月21日 Subject字段:使用美国州名和常见姓名 2.2 恶意宏分析 宏类型:VBS宏 代码特征: 总行数约650行 大部分为垃圾代码 核心功能代码约18行 核心代码功能: 攻击手法: 从文档特定Shape中提取AlternativeText内容 AlternativeText中包含Base64编码的命令 解码并执行这些命令 3. PowerShell攻击阶段分析 3.1 第一阶段PowerShell脚本 创建.Net Webclient类实例 使用GetMethods()枚举可用方法 关键方法调用: DownloadString方法: 联系硬编码C2服务器下载文件 在内存中执行下载的字符串内容 DownloadData方法: 从第二个C2下载资源 保存位置:C:\ProgramData 使用硬编码文件名 使用DCOM对象CLSID(C08AFD90-F2A1-11D1-8455-00A0C91F3880)实例化ShellBrowserWindow对象 调用ShellExecute方法执行 3.2 GandCrab下载执行流程 通过DownloadString下载的payload: 单行PowerShell脚本 评估系统架构(x86/x64) 从pastebin.com下载额外payload 内存中执行 Pastebin下载内容: 约2800行PowerShell脚本 基于Empire Invoke-PSInject模块修改 修改内容: 移除注释 重命名变量 功能:将base64编码的PE文件注入当前PowerShell进程 GandCrab样本特征: 版本:5.0.4 文件信息: 3.3 Ursnif下载执行流程 通过DownloadData方法下载 保存位置:C:\ProgramData\随机文件名 功能: 凭证窃取 系统和进程信息收集 其他Ursnif典型行为 样本分布: bevendbrec.com站点 iscondisth.com站点 共发现约200个不同变种 4. 攻击基础设施分析 4.1 C2服务器 主要域名: bevendbrec[ . ]com iscondisth[ . ]com 4.2 样本关联分析 使用VirusTotal Graph功能对180个变种进行分类 分类依据: 元数据 文档结构 C2基础设施 5. 防御建议 5.1 检测指标 文档中可疑的Shape对象和AlternativeText属性 调用ShellBrowserWindow CLSID(C08AFD90-F2A1-11D1-8455-00A0C91F3880)的行为 从pastebin.com下载并执行PowerShell脚本的行为 以下目录的可疑文件创建: C:\ProgramData\ 5.2 防护措施 宏安全: 禁用Office文档中的宏执行 对必须使用宏的场景实施严格审核 PowerShell防护: 启用PowerShell脚本块日志记录 限制PowerShell的下载和执行能力 网络防护: 阻止对pastebin.com等文本共享站点的企业访问 监控对已知恶意域名的访问(bevendbrec.com, iscondisth.com) 端点防护: 部署能够检测反射型DLL注入的行为检测方案 监控内存中的可疑PE加载行为 用户教育: 培训用户识别钓鱼邮件特征 强调不要启用可疑文档中的宏