首次发布时间:2015

年09月01日17时00分本版本更新时间:2015年09月01日17时00分利用路由器传播的DYREZA家族变种分析安天安全研究与应急处理中心利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第2页目录1概述.
12事件样本分析22.
1传播过程.
22.
2样本标签.
32.
3UPATRE样本分析33DYREZA家族变种分析63.
1样本标签.
63.
2DYREZA家族变种分析64路由器防护建议.
85总结.
96附录一:关于安天.
9利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第1页1概述安天CERT(安全研究与应急处理中心)近期收到大量用户反馈,称其收到带有可疑的邮件,经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播和下载的木马家族Dyreza的变种,其目的是窃取银行账号和比特币.
该变种通过Upatre下载者进行下载,下载Dyreza变种的服务器均为路由器.
攻击者将入侵的路由器作为Dyreza变种的传播服务器,在路由器中存放的文件均为加密文件.
此外,该变种还具有反虚拟机功能.
在分析过程中,安天CERT研究人员发现大量的路由器被植入了Dyreza的最新变种.
利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第2页2事件样本分析2.
1传播过程图1Dyreza木马的传播过程不法分子首先利用弱口令等方法入侵互联网中的路由器,在路由器中存放加载的恶意代码程序,这些恶意代码程序的后缀名包括:.
AVI、.
ZIP、.
TAR、.
RAR、.
PNG、.
PDF;然后通过散布带有社会工程学性质利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第3页的垃圾邮件,诱使用户运行中的Upatre下载者;Upatre下载者连接被入侵的路由器,下载路由器中存放的加密的恶意代码程序,在用户系统中解密后得到Dyreza木马.
2.
2样本标签病毒名称Trojan[Downloader]/Win32.
Upatre原始文件名business-focusedsystematicproduct.
exeMD5D53B1091D8EFBEFC986D86AABCB28631处理器架构X86-32文件大小58.
5KB(59,904字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳2015年6月18日18:5:43数字签名无加壳类型未知壳编译语言未知VT首次上传时间2015-08-05VT检测结果24/56本次事件中,Upatre下载者负责下载窃取银行账号和比特币的Dyreza木马程序.
Upatre下载者主要通过电子邮件进行传播,目前以Upatre家族为载体的木马家族有Zeus、Rovnix、Dyreza、勒索软件和僵尸网络等.
2.
3Upatre样本分析1.
样本使用了多层混淆技术来阻止反病毒工程师对其进行分析.
Upatre运行后,首先创建进程svchost.
exe,并将自身代码注入到svchost.
exe进程中执行,同时结束自身进程;通过ZwQueryInformationProcess函数检测自身是否在调试器下运行;最后通过ZwResumeThread函数恢复线程启用.
图2将自身代码注入到创建的svchost.
exe进程中2.
通过HTTPS进行下载,如下载失败会循环下载其它路由器的IP地址进行下载,直到下载成功.
利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第4页图3下载加密的恶意代码文件3.
目前安天CERT研究人员发现通过路由器IP地址下载的文件均为加密的Dyreza变种.
其文件后缀名如下:.
tar.
png.
avi.
zip.
rar.
pdf经安天CERT研究人员测试发现在同一个路由器上存在多个加密文件.
其中某路由器上存放着99个加密恶意代码,文件名列表如下:Call2Me.
tarClip_1.
aviClip_2.
aviClip_7.
aviNew_Clip_1.
aviNew_Clip_2.
aviNew_Clip_7.
aviTry2Me.
tart11.
pngt12.
pngt13.
pngt15.
zipt16.
zipt17.
zipt18.
zipt20.
zipteu11.
tarteu12.
tarteu13.
taAUv6.
77.
tarrac11.
pngac12.
pngac13.
pngac17.
pngfi11.
avifi12.
avifi13.
avifl11.
tarfl12.
tarfl13.
taric11.
pngic12.
pngic13.
pngse12.
avise21.
avise22.
avise23.
avise77.
avik1.
tark2.
tark2411.
pngk2412.
pngk2413.
pngk2414.
pngk2415.
pngkc11.
pngkc12.
pngkc13.
pngkc17.
pngl11.
tarl12.
tarl13.
tarl17.
tarl21.
zipl22.
zipl23.
zipl27.
zipl28.
zipk7.
tarUSv6.
12.
tarlci11.
tarlci12.
tarlci13.
tarlci17.
tarnn21.
rarnn22.
rarnn23.
rarnn27.
rarnus11.
pngnus12.
pngnus13.
pngov1.
zipov2.
zipov3.
zipov7.
zippi11.
pngpi12.
pngpi13.
pngpi17.
pngUSAreport20150812_7.
pdfUnitedReport_page_1.
pdfUnitedReport_page_2.
pdfUnitedReport_page_7.
pdfpikp11.
pngpikp12.
pngpikp13.
pngrimage21.
pngrimage22.
pngrimage23.
pngtek11.
pngtek12.
pngtek13.
pngtek17.
pngteu7.
tarng11.
zipng12.
zipng13.
zipng17.
zipng18.
zip放置加密恶意代码的路由器登陆界面:利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第5页图4放置加密恶意代码的路由器连接界面4.
在下图,全球被入侵路由器的IP地址的地理位置中,排在前三位的分别是:美国、波兰、乌克兰;其中欧洲国家较多.
图5存放加密恶意代码的路由器的IP地址分布5.
Upatre下载者将加密文件下载到本地后进行解密:图6解密代码利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第6页首先略过加密文件头部的4个字节,然后每次取出4个字节与Key进行异或,每次运算后Key减1.
依此循环进行解密,直至解密完成,解密后的文件是一个可执行的PE文件,即Dyreza木马.
3Dyreza家族变种分析3.
1样本标签病毒名称Trojan[Backdoor]/Win32.
Dyreza原始文件名hxHdXD0.
exeMD5955D9364AE0AF753FC627D630883742F处理器架构X86-32文件大小491KB(503,296字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳2015年6月18日18:5:43数字签名无加壳类型未知壳编译语言未知VT首次上传时间2015-08-05VT检测结果39/57Dyreza家族非常类似于臭名昭著的Zeus僵尸网络,它们都是利用浏览器中间人攻击,当被感染的用户访问特定的网站(这类网站通常为金融机构或金融服务的登录页面),则会注入恶意Javascript代码来进行捕获用户所输入的账号密码等信息.
Dyreza家族新变种的主要功能是窃取用户银行账号和比特币.
3.
2Dyreza家族变种分析1.
反虚拟机功能:2006年英特尔发布双核处理器后,现今市场及用户电脑中已经很难见到单核处理器了.
而自动化分析平台为节省资源,常常将虚拟机的处理器设置为单核处理器.
Dyreza家族的新变种正是利用这种情况,对感染系统的处理器个数进行判断,如果少于2个,则样本直接退出.
该判断在样本中出现多次,在后面核心的DLL模块中,也存在此功能.
利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第7页图7判断处理器是否为单核CPU2.
资源解密:样本带有多个资源文件,将这些资源读取到内存后,根据内置的一个100字节的shellcode表来进行解密操作,得到核心的DLL功能模块.
图8解密资源文件3.
创建虚假的google升级服务:图9创建虚假的google升级服务4.
使用任务计划执行程序,每分钟执行一次:图10每分钟运行一次自身5.
在核心模块中,使用了跨平台的文件加密库bcrypt,将获取的本地信息进行加密操作.
利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第8页图11使用的加密函数6.
Dyreza家族具有远程控制用户系统的功能,使用POST和GET方式与远程服务器进行通信.
图12使用POST和GET方式进行通信7.
Dyreza家族的新变种可以在被感染的系统中添加一个管理员账号和密码,账号名为"lname0",密码为"1qazxsw2".
通过本地登陆验证是否添加成功.
图13创建管理员账号和密码4路由器防护建议Dyreza家族木马通过入侵路由器的方式进行传播,恶意程序放置在路由器中很难被用户发现,而反病毒产品通常无法直接扫描路由器.
因此,安天CERT建议用户使用以下几种路由器防护措施:1.
不要使用路由器默认的口令,修改为高强度的口令.
2.
定期更新路由器固件,修复已出现的安全漏洞.
利用路由器传播的DYREZA家族变种分析安天实验室版权所有,欢迎无损转载第9页3.
关闭SSID广播,防止SSID被嗅探.
4.
使用安全性较高的WPA2协议、AES加密算法.
5.
禁用DHCP,开启MAC地址过滤,仅允许绑定的MAC地址访问无线网络.
5总结Dyreza家族以窃取用户银行账号和比特币为目的,以利用入侵的路由器进行传播为特点,应引起用户和企业的关注.
在此之前,2014年4月份的CVE-2014-0160(心脏出血)漏洞即可入侵大量的路由器设备.
安天CERT判定,Dyreza家族与Rovnix家族有着必然的联系,它们使用相同的Upatre下载者进行传播,并使用相似的下载地址.
在本报告发布前,安天又捕获到一个更新的Dyreza变种,在传播方式上,它使用与Rovnix攻击平台相似的下载地址,都使用WordPress搭建的网站,或入侵由WordPress搭建的第三方正常网站.
继HaveX首次使用这种传播方式后,这已成为安天CERT发现的第三个使用这种传播方式的家族了.
安天CERT会继续跟踪使用这种方式传播的恶意代码,并持续关注HaveX、Rovnix、Dyreza这三个家族.
6附录一:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问: