PDF《DocuSign 网站用户资料泄露》

HUORONG BORUI (BEIJING) TECHNOLOGY CO.

, LTD. DocuSign 网站用户资料泄露 病毒团伙利用邮件疯狂作恶 HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 目录

一、 综述.3

二、 事件分析.5

三、 附录.18 HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD.

一、 综述 近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign 的用户正 在遭受病毒邮件的攻击,该平台在全球拥有

2 亿用户,其中包括很多中国企业用户.请DocuSign 的用户提高警惕,在收到相关邮件时仔细查验真伪,不要轻易打开邮件正文中 的word 文档查看链接. 火绒安全团队根据截获的病毒邮件分析和溯源,发现知名的数字文档签署平台 DocuSign 遭到黑客入侵,导致用户资料被泄露.病毒团伙得到用户信息后,伪造了一个 假域名"DocuSgn"(比DocuSign 少一个字母 i),从这里向用户发出病毒邮件,病毒 邮件伪装成会计发票,由于邮件标题及正文均使用 DocuSign 品牌标识,充满迷惑性,诱 骗用户下载含有恶意代码的 word 文档,当用户打开文档时,系统会询问用户是否打开被 禁用的恶意宏代码,如果用户启用被禁宏,便会开启病毒的多次接力下载,最终下载并运 行Zbot.(如下图所示) HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 本次病毒邮件攻击的受害人群仅限于 DocuSign 用户,火绒安全通过虚拟行为沙盒可 以检测出恶意行为,所以无需升级即可彻底查杀病毒,并且通过"恶意网址拦截"功能, 拦截假冒域名 docusgn.com. HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD.

二、 事件分析 近期,火绒工作人员收到了一封来自"docusign"的邮件,经火绒工程师确认,这是一 封伪装 DocuSign 的钓鱼邮件.图中发件人的邮箱地址为 [email protected],和官方 docusign.com 有一字之差,如下图所示: 火绒一共收到

4 封正文相同的邮件,只是下载文档的地址变换了

4 次.分别如下: hxxp://hertretletan.ru/file.php?document=MjEzM3pob3VqdW5AaHVvcm9uZy5jbjYxODg= hxxp://search4athletes.com/file.php?document=MDY2NHpob3VqdW5AaHVvcm9uZy5jbjI1MTg= hxxp://tannareshedt.ru/file.php?document=NjQzNXpob3VqdW5AaHVvcm9uZy5jbjcwMzE= hxxp://lasvegastradeshowmarketing.com/file.php?document=NjE3Nnpob3VqdW5AaHVvcm9uZy5jbjU2MTA= 点击"REVIEW DOCUMENT"下载包含恶意代码的 Word 文档: HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 下载的文档内容也是相似,只有一副图片.火绒初步怀疑该恶意文档是使用 MetaSpolit 工具生成.打开文档后,Word 会询问用户是否打开被禁用的恶意宏代码, 如下所图: 如果按照钓鱼文档的说明,关闭安全警告启用宏,就会触发文档中的恶意脚本,脚本 执行过程中会进行多次解密,解密数据来自于宏脚本窗口中的控件对象.控件对象数据如 下: HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 关键解密过程如下: 控件对象数据最终会解密出包含恶意代码的 PE 文件,然后启动系统进程 svchost.exe,将解密后的病毒注入到 svchost.exe 中执行: 被注入的 svchost.exe 还是一个下载器,联网后下载另一个病毒程序 "BN2589.tmp.exe"到TEMP 目录并执行. HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 通过分析, "BN2589.tmp.exe"是一个被混淆器多重加密的 Zbot.病毒会启动 explorer.exe 作为傀儡进程运行恶意代码: 上图中 Explorer 被病毒 Patch 了入口点代码,确保在 Explorer 恢复线程后,可以从入口 点跳转到注入的恶意代码,随后跳转到恶意代码入口点继续解密: HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 注入到 explorer 的恶意代码是一个混淆后的动态库,其导入表是经过加密进行存放的, 在动态库被注入后会先对其导入表进行修复,修复后进会保留函数地址,并对函数名部分 进行擦除: HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 其父进程注入 explorer 时会在其内存块其实地方记录下一段加密的用户配置信息和启动 程序路径: 病毒主逻辑中,首先会检测虚拟机进行反调试: HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 该样本中所使用的所有资源都被加密: 通过解密可以得到 C&C 服务器域名如下: http://hargotsinlitt.com/bdk/gate.php http://mafeforthen.com/bdk/gate.php 其程序运行中会不断的尝试联网,获取 C&C 传回的数据信息.在样本中我们还发现大量 DNS 服务器,如下: 185.121.177.53 185.121.177.177 45.63.25.55 111.67.16.202 142.4.204.111 142.4.205.47 31.3.135.232 62.113.203.55 37.228.151.133 144.76.133.38 HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 这些 DNS 服务器具有 DNSCrypt 功能,推测其目的是加密访问病毒 C&C 服务器,如下: 完整的解密后数据: 根据病毒的行为和复杂程度,结合上图中红色框中的解密出来的字符片段,但是通过此前 泄露的 ZBot 源码,可以断定这就是 Zbot 无疑: HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. Zbot 是一个历史悠久且功能复杂的木马程序,因为源码的泄露.使得任何人都可对 其修改,我们可以从之前泄露的 Zbot 源码看到病毒有以下主要行为: 1. 获取浏览器 cookies,flash player cookies, FTP 密码和 email 密码. HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. Zbot 会针对不同的 FTP 和email 客户端,读取其保存账户信息的注册表或文件,之 后将收集到的信息打包发送到病毒作者的 C&C 服务器.从下面两张图中,我们可以看到 Zbot 能够盗取市面上主流 FTP 和email 软件的账户信息. HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 2. HOOK InternetReadFile 和InternetReadFileExA 函数,在获取网页时向网页中注 入代码获取用户的账户信息: 3. HOOK GetClipboardData 函数获取剪切板信息 HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 4. HOOK TranslateMessage 函数,拦截程序消息,当为按钮按下消息时,截屏保存图 片.当为键盘按键消息时,则记录按键信息.如下图所示: 除了上述介绍的几个函数外 Zbot 还HOOK 了一些系统 API,和上述方法类似,主要 用于获取用户信息,这里就不再详细列举. Docusign 是数字文档签署平台,其客户多是企业用户.此次 Zbot 攻击,非常有针 对性,结合 Zbot 的行为, 不排除病毒会窃取商业资料,网银密码、等企业关键信息. 火绒在拦截到病毒样本之前就已经可以对相关病毒样本进行查杀,并且在拦截到病毒 当天就升级了恶意网址拦截,阻拦了虚假域名 docusgn.com. HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD.

三、 附录 样本 SHA1: Eml 652eb7097d327cae8bd8a1d0d8e606f6a77603c8 99d84db0b071f0db97dc9d024349c3f4edb66911 a5f30b73103754923c568d7548af56fceed148b5 eda9ac8e9b21c969c11d05337892e44fa9c1c045 DOC cb6797ff6eb43748c07faaa7bf949a42929a5220 d6eefe9314ff0c581acf26d5a647e40c9d12fcd8 PE a809de46a2e21ac6aab7b66dbaa2206332935af3 ae76db7f24a111ca022b00d29fb08cc76cbab41b