俄語垃圾郵件推送Redaman銀行惡意軟體

　　Redaman於2015年首次被發現，它是針對使用俄羅斯金融機構進行交易的客戶的惡意軟體。最初它被報告為RTM銀行木馬，2017年Symantec 和Microsoft 等廠商將該惡意軟體的更新版本描述為Redaman。2018年的最後四個月，我們發現了多個俄語版本Redaman的大規模分發活動。本博客追蹤了2018年9月至12月期間分發此銀行惡意軟體的惡意垃圾郵件（malspam）活動的發展情況。包括以下主題：

　　· 感染矢量

　　· 電子郵件特徵

　　· 收件人

　　· 分析Redaman樣本

　　· 感染流量

　　一、感染向量

　　自2018年9月開始，Redaman銀行惡意軟體通過惡意垃圾郵件活動進行分發。在此活動中，俄語malspam發送給俄羅斯電子郵件收件人，通常這些電子郵件地址以.ru結尾，均包含文件附件。這些文件附件是偽裝成PDF文檔的Windows可執行文件壓縮包。 2018年9月，附件是zip壓縮包。 2018年10月，附件是zip，7-zip和rar壓縮包。在2018年11月，附件是rar壓縮包。在2018年12月，附件更改為gzip壓縮，文件名以.gz結尾。

圖1：2018年9月至12月Redaman銀行惡意軟體感染流程圖

　　二、電子郵件

　　此malspam中的主題行，消息文本和附件名不斷更改。但這些消息都有一個共同的主題：收件人需要解決的涉嫌財務問題的文檔或文件。這些信息通常含糊不清，並且包含有關所謂財務問題的細節。他們唯一的目標是欺騙收件人打開附加的存檔並雙擊其中包含的可執行文件。

　　在2018年9月到12月期間看到的幾十個例子中，有10個比較常見的主題：

　　· Subject: Акт сверки сентябрь-октябрь

　　· Subject: Весь пакет док-ов за прошлый месяц

　　· Subject: Все док-ты за август-сентябрь

　　· Subject: Деб.задолженность среда

　　· Subject: Документы, сверка 02.10

　　· Subject: Заявка на возврат за ноябрь

　　· Subject: Необходимо свериться среда

　　· Subject: Отправка на за прошлую неделю

　　· Subject: Пакет документов для оплаты 1е октября

　　· Subject: Сверка на оплату

　　以下是谷歌翻譯的上述主題：

　　· 主題：9月至10月的和解法案

　　· 主題：上個月文件的壓縮包

　　· 主題：8月至9月的所有文檔

　　· 主題：周三到期的債務

　　· 主題：2018年10月的文件驗證

　　· 主題：申請返回

　　· 主題：檢查環境

　　· 主題：上周發送

　　· 主題：10月1日付款的文件包

　　· 主題：付款驗證

圖2：2018年9月的Redaman malspam示例

圖3：2018年10月的Redaman malspam示例

圖4：2018年11月Redaman malspam示例

圖5：2018年12月Redaman malspam示例

　　三、目標收件人

　　來自我們的AutoFocus智能平臺的這些電子郵件和數據的內容確認此惡意行動主要針對俄羅斯收件人。2010年9月至12月期間，我們在AutoFocus中發現了3,845封電子郵件，其附件標記為Redaman銀行惡意軟體。此malspam的前10位發件人和收件人的數據如下：

　　前10名發件人的郵件伺服器：

　　· 俄羅斯 – 3,456

　　· 白俄羅斯 – 98

　　· 烏克蘭 – 93

　　· 愛沙尼亞 – 29

　　· 德國 – 30

　　· 美國 – 21

　　· 荷蘭 – 12

　　· 英國 – 7

　　· 瑞士 – 7

　　· 拉脫維亞 – 2

　　前10位收件人的郵件伺服器：

　　· 俄羅斯 – 2,894

　　· 荷蘭 – 195

　　· 美國 – 55

　　· 瑞典 – 24

　　· 日本 – 16

　　· 哈薩克斯坦 – 12

　　· 西班牙 – 12

　　· 芬蘭 – 11

　　· 德國 – 6

　　· 奧地利 – 4

圖6：2018年9月至12月期間用於分發電子郵件收件人的可視化AutoFocus地圖

　　四、分析一個Redaman樣本

　　我們分析了2018年11月13日的Redaman惡意軟體樣本。

　　來自malspam的rar包的SHA256哈希：

　　· f6fb51809caec2be6164863b5773a7ee3ea13a449701a1f678f0655b6e8720df

　　從rar存檔中提取的Redaman可執行文件的SHA256哈希值：

　　· cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f

　　由上述可執行文件創建的Redaman DLL的SHA256哈希：

　　· cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f

　　首次運行Redaman的Windows可執行文件時，它會檢查本地主機上的以下文件或目錄（C盤或D盤）：

　　· C:\cuckoo

　　· C:\fake_drive

　　· C:\perl

　　· C:\strawberry

　　· C:\targets.xls

　　· C:\tsl

　　· C:\wget.exe

　　· C:\*python*

　　如果存在上述任何文件或目錄，則Windows可執行文件將引發異常並退出。這表明Redaman檢查它是否在沙箱或類似的分析環境中運行。

　　如果沒有異常發生，Windows可執行文件會在用戶的AppData\Local\Temp\目錄中釋放DLL文件，在C:\ProgramData\目錄下創建一個隨機命名的文件夾，並將DLL隨機命名並移動到該文件夾下。通過具有以下屬性的Windows計劃任務使此Redaman DLL保持持久性：

　　· Name：Windows Update

　　· Description：更新Windows組件。

　　· Triggers：用戶登錄時執行

　　· Action：rundll32.exe 「C:\ProgramData\%random value%\%random value.random 3-character extension%「,DllGetClassObject host

　　創建計劃任務並加載DLL後，初始Redaman可執行文件將自行刪除。

圖7：通過計劃任務持久化的Redaman DLL示例

圖8：Process Hacker使用rundll32.exe顯示Redaman DLL

　　Redaman使用應用程式定義的鉤子程序來監控瀏覽器活動，特別是Chrome，Firefox和Internet Explorer。然後，它會在本地主機上搜索與金融部門相關的信息。 Redaman的其他功能包括：

　　· 將文件下載到受感染的主機

　　· 鍵盤記錄

　　· 捕獲Windows桌面的屏幕截圖並錄製視頻

　　· 收集和提取財務數據，專門針對俄羅斯銀行

　　· 智慧卡監控

　　· 關閉受感染的主機

　　· 通過Windows host文件更改DNS配置

　　· 獲取剪貼板數據

　　· 確認正在運行的進程

　　· 將證書添加到Windows存儲庫

　　五、感染流量

　　我們使用2018年11月14日SHA256 hash cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f的可執行文件生成了如下感染流量：

　　· 104.28.16[.]33 port 443 – namecha[.]in – GET /name/d/stat-counter-3-1

　　· 185.141.61[.]246 port 80 – 185.141.61[.]246 – POST /index.php

　　· 193.37.213[.]28 port 80 – 193.37.213[.]28 – POST /p/g_3453456jawd346.php

圖9：在Wireshark中過濾的Redaman感染流量

　　網絡活動以namecha[.]in的HTTPS URL開始，這是一個替代的namecoin塊資源管理器。Namecoin 是一種加密貨幣系統，可用於分散式DNS。這證明是屬於該情況，因為URL返回了用於後續感染後流量的IP位址，如圖10所示。

圖10：從namecha[.]in返回的用於後續感染流量的數據

　　在感染期間，回調流量定期發送到命令和控制（C2）伺服器185.141.61 [.] 246。感染後不久，從C2伺服器返回的流量將Pony變種DLL發送到受感染的Windows客戶端。

圖11：使用Wireshark在185.141.61 [.] 246查找從C2返回的58 kB編碼數據

　　Pony變體DLL的數據是使用多個XOR密鑰和RTL壓縮進行編碼的。這個Pony變種DLL的SHA256是b4701d95219d465e978c4a815fcce89787916da33ae2a49d0e76d4445fd39ada，它在感染期間產生了193.37.213 [.] 28/p/g_3453456jawd346.php的流量。

　　六、總結

　　自2015年首次發現以來，該系列銀行惡意軟體繼續針對使用俄羅斯金融機構進行交易的客戶。在2018年的最後四個月裡，我們發現了100多個malspam的例子，本博客在這段時間內對Redaman進行了仔細研究。

　　我們期望在2019年發現新的Redaman樣本。

　　Palo Alto Networks的客戶可以免受此威脅。通過本地分析識別這些文件，Wildfire將其歸類為惡意文件。我們的威脅防禦平臺會檢測此惡意軟體，請參閱下面的附錄，了解我們在2018年9月至12月期間發現的Redaman惡意軟體的詳細信息。

　　附錄A

　　從2018年9月到12月發現的119個malspam附件的SHA256文件哈希值，30個提取的Redaman可執行文件和釋放的Redaman DLL文件。可從以下位置獲取相關信息：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-09-thru-2018-12-file-hashes-for-Redaman-banking-malware.txt

　　附錄B

　　2018年9月發現的Redaman銀行惡意軟體的SHA256文件哈希，存檔文件名和解壓縮文件名。信息位於：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-09-file-hashes-for-Redaman-banking-malware.txt

　　附錄C

　　2018年10月發現的Redaman銀行惡意軟體的SHA256文件哈希，存檔文件名和解壓縮文件名。信息位於：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-10-file-hashes-for-Redaman-banking-malware.txt

　　附錄D

　　2018年11月發現的Redaman銀行惡意軟體的SHA256文件哈希，存檔文件名和解壓縮文件名。信息位於：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-11-file-hashes-for-Redaman-banking-malware.txt

　　附錄E

　　2018年12月發現的Redaman銀行惡意軟體的SHA256文件哈希，存檔文件名和解壓縮文件名。信息位於：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-12-file-hashes-for-Redaman-banking-malware.txt

責任編輯：韓希宇