俄语垃圾邮件推送Redaman银行恶意软件

　　Redaman于2015年首次被发现，它是针对使用俄罗斯金融机构进行交易的客户的恶意软件。最初它被报告为RTM银行木马，2017年Symantec 和Microsoft 等厂商将该恶意软件的更新版本描述为Redaman。2018年的最后四个月，我们发现了多个俄语版本Redaman的大规模分发活动。本博客追踪了2018年9月至12月期间分发此银行恶意软件的恶意垃圾邮件（malspam）活动的发展情况。包括以下主题：

　　· 感染矢量

　　· 电子邮件特征

　　· 收件人

　　· 分析Redaman样本

　　· 感染流量

　　一、感染向量

　　自2018年9月开始，Redaman银行恶意软件通过恶意垃圾邮件活动进行分发。在此活动中，俄语malspam发送给俄罗斯电子邮件收件人，通常这些电子邮件地址以.ru结尾，均包含文件附件。这些文件附件是伪装成PDF文档的Windows可执行文件压缩包。 2018年9月，附件是zip压缩包。 2018年10月，附件是zip，7-zip和rar压缩包。在2018年11月，附件是rar压缩包。在2018年12月，附件更改为gzip压缩，文件名以.gz结尾。

图1：2018年9月至12月Redaman银行恶意软件感染流程图

　　二、电子邮件

　　此malspam中的主题行，消息文本和附件名不断更改。但这些消息都有一个共同的主题：收件人需要解决的涉嫌财务问题的文档或文件。这些信息通常含糊不清，并且包含有关所谓财务问题的细节。他们唯一的目标是欺骗收件人打开附加的存档并双击其中包含的可执行文件。

　　在2018年9月到12月期间看到的几十个例子中，有10个比较常见的主题：

　　· Subject: Акт сверки сентябрь-октябрь

　　· Subject: Весь пакет док-ов за прошлый месяц

　　· Subject: Все док-ты за август-сентябрь

　　· Subject: Деб.задолженность среда

　　· Subject: Документы, сверка 02.10

　　· Subject: Заявка на возврат за ноябрь

　　· Subject: Необходимо свериться среда

　　· Subject: Отправка на за прошлую неделю

　　· Subject: Пакет документов для оплаты 1е октября

　　· Subject: Сверка на оплату

　　以下是谷歌翻译的上述主题：

　　· 主题：9月至10月的和解法案

　　· 主题：上个月文件的压缩包

　　· 主题：8月至9月的所有文档

　　· 主题：周三到期的债务

　　· 主题：2018年10月的文件验证

　　· 主题：申请返回

　　· 主题：检查环境

　　· 主题：上周发送

　　· 主题：10月1日付款的文件包

　　· 主题：付款验证

图2：2018年9月的Redaman malspam示例

图3：2018年10月的Redaman malspam示例

图4：2018年11月Redaman malspam示例

图5：2018年12月Redaman malspam示例

　　三、目标收件人

　　来自我们的AutoFocus智能平台的这些电子邮件和数据的内容确认此恶意行动主要针对俄罗斯收件人。2010年9月至12月期间，我们在AutoFocus中发现了3,845封电子邮件，其附件标记为Redaman银行恶意软件。此malspam的前10位发件人和收件人的数据如下：

　　前10名发件人的邮件服务器：

　　· 俄罗斯 – 3,456

　　· 白俄罗斯 – 98

　　· 乌克兰 – 93

　　· 爱沙尼亚 – 29

　　· 德国 – 30

　　· 美国 – 21

　　· 荷兰 – 12

　　· 英国 – 7

　　· 瑞士 – 7

　　· 拉脱维亚 – 2

　　前10位收件人的邮件服务器：

　　· 俄罗斯 – 2,894

　　· 荷兰 – 195

　　· 美国 – 55

　　· 瑞典 – 24

　　· 日本 – 16

　　· 哈萨克斯坦 – 12

　　· 西班牙 – 12

　　· 芬兰 – 11

　　· 德国 – 6

　　· 奥地利 – 4

图6：2018年9月至12月期间用于分发电子邮件收件人的可视化AutoFocus地图

　　四、分析一个Redaman样本

　　我们分析了2018年11月13日的Redaman恶意软件样本。

　　来自malspam的rar包的SHA256哈希：

　　· f6fb51809caec2be6164863b5773a7ee3ea13a449701a1f678f0655b6e8720df

　　从rar存档中提取的Redaman可执行文件的SHA256哈希值：

　　· cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f

　　由上述可执行文件创建的Redaman DLL的SHA256哈希：

　　· cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f

　　首次运行Redaman的Windows可执行文件时，它会检查本地主机上的以下文件或目录（C盘或D盘）：

　　· C:\cuckoo

　　· C:\fake_drive

　　· C:\perl

　　· C:\strawberry

　　· C:\targets.xls

　　· C:\tsl

　　· C:\wget.exe

　　· C:\*python*

　　如果存在上述任何文件或目录，则Windows可执行文件将引发异常并退出。这表明Redaman检查它是否在沙箱或类似的分析环境中运行。

　　如果没有异常发生，Windows可执行文件会在用户的AppData\Local\Temp\目录中释放DLL文件，在C:\ProgramData\目录下创建一个随机命名的文件夹，并将DLL随机命名并移动到该文件夹下。通过具有以下属性的Windows计划任务使此Redaman DLL保持持久性：

　　· Name：Windows Update

　　· Description：更新Windows组件。

　　· Triggers：用户登录时执行

　　· Action：rundll32.exe “C:\ProgramData\%random value%\%random value.random 3-character extension%“,DllGetClassObject host

　　创建计划任务并加载DLL后，初始Redaman可执行文件将自行删除。

图7：通过计划任务持久化的Redaman DLL示例

图8：Process Hacker使用rundll32.exe显示Redaman DLL

　　Redaman使用应用程序定义的钩子程序来监控浏览器活动，特别是Chrome，Firefox和Internet Explorer。然后，它会在本地主机上搜索与金融部门相关的信息。 Redaman的其他功能包括：

　　· 将文件下载到受感染的主机

　　· 键盘记录

　　· 捕获Windows桌面的屏幕截图并录制视频

　　· 收集和提取财务数据，专门针对俄罗斯银行

　　· 智能卡监控

　　· 关闭受感染的主机

　　· 通过Windows host文件更改DNS配置

　　· 获取剪贴板数据

　　· 确认正在运行的进程

　　· 将证书添加到Windows存储库

　　五、感染流量

　　我们使用2018年11月14日SHA256 hash cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f的可执行文件生成了如下感染流量：

　　· 104.28.16[.]33 port 443 – namecha[.]in – GET /name/d/stat-counter-3-1

　　· 185.141.61[.]246 port 80 – 185.141.61[.]246 – POST /index.php

　　· 193.37.213[.]28 port 80 – 193.37.213[.]28 – POST /p/g_3453456jawd346.php

图9：在Wireshark中过滤的Redaman感染流量

　　网络活动以namecha[.]in的HTTPS URL开始，这是一个替代的namecoin块资源管理器。Namecoin 是一种加密货币系统，可用于分散式DNS。这证明是属于该情况，因为URL返回了用于后续感染后流量的IP地址，如图10所示。

图10：从namecha[.]in返回的用于后续感染流量的数据

　　在感染期间，回调流量定期发送到命令和控制（C2）服务器185.141.61 [.] 246。感染后不久，从C2服务器返回的流量将Pony变种DLL发送到受感染的Windows客户端。

图11：使用Wireshark在185.141.61 [.] 246查找从C2返回的58 kB编码数据

　　Pony变体DLL的数据是使用多个XOR密钥和RTL压缩进行编码的。这个Pony变种DLL的SHA256是b4701d95219d465e978c4a815fcce89787916da33ae2a49d0e76d4445fd39ada，它在感染期间产生了193.37.213 [.] 28/p/g_3453456jawd346.php的流量。

　　六、总结

　　自2015年首次发现以来，该系列银行恶意软件继续针对使用俄罗斯金融机构进行交易的客户。在2018年的最后四个月里，我们发现了100多个malspam的例子，本博客在这段时间内对Redaman进行了仔细研究。

　　我们期望在2019年发现新的Redaman样本。

　　Palo Alto Networks的客户可以免受此威胁。通过本地分析识别这些文件，Wildfire将其归类为恶意文件。我们的威胁防御平台会检测此恶意软件，请参阅下面的附录，了解我们在2018年9月至12月期间发现的Redaman恶意软件的详细信息。

　　附录A

　　从2018年9月到12月发现的119个malspam附件的SHA256文件哈希值，30个提取的Redaman可执行文件和释放的Redaman DLL文件。可从以下位置获取相关信息：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-09-thru-2018-12-file-hashes-for-Redaman-banking-malware.txt

　　附录B

　　2018年9月发现的Redaman银行恶意软件的SHA256文件哈希，存档文件名和解压缩文件名。信息位于：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-09-file-hashes-for-Redaman-banking-malware.txt

　　附录C

　　2018年10月发现的Redaman银行恶意软件的SHA256文件哈希，存档文件名和解压缩文件名。信息位于：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-10-file-hashes-for-Redaman-banking-malware.txt

　　附录D

　　2018年11月发现的Redaman银行恶意软件的SHA256文件哈希，存档文件名和解压缩文件名。信息位于：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-11-file-hashes-for-Redaman-banking-malware.txt

　　附录E

　　2018年12月发现的Redaman银行恶意软件的SHA256文件哈希，存档文件名和解压缩文件名。信息位于：

　　https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-12-file-hashes-for-Redaman-banking-malware.txt

责任编辑：韩希宇