新的銀行木馬DYRE變種,會劫持微軟Outlook

銀行木馬 DYRE/Dyreza 惡意軟體帶著新感染技術回來了：現在它會利用微軟 Outlook 來散播惡名昭彰的 UPATRE 惡意軟體來針對更多的目標銀行。

去年10月，趨勢科技看到 CUTWAIL 垃圾郵件殭屍網路所產生的 UPATRE-DYRE惡意軟體感染高峰，其模式和 ZeuS變種GAMEOVER 所使用的散播技術類似。DYRE最近修改其設計和結構，改進了散播和躲避安全軟體等技術，也讓趨勢科技將它放入了2015年值得注意的惡意軟體觀察名單上。

新的 DYRE感染鏈

DYRE通常會UPATRE下載程式（偵測為TROJ_UPATRE.SMBG，透過垃圾郵件附加檔案抵達）來進入使用者的系統。

圖1、帶有UPATRE下載程式的垃圾郵件樣本

在這新感染鏈中，一旦安裝DYRE就會下載一個蠕蟲病毒（WORM_MAILSPAM.XDP），它會利用微軟Outlook來產生帶有UPATRE惡意軟體的電子郵件。

這個惡意軟體使用msmapi32.dll程式庫（來自微軟Outlook）來執行郵件相關動作（如登入、發送郵件、附加檔案）。

下面資訊下載/解開自其內建的C＆C地址：

惡意軟體利用這些參數來寄送電子郵件給目標收件者。不用過多久，這使用者的聯絡人們也會成為收件者。

附檔內的UPATRE惡意軟體會接著下載DYRE並重複此一循環。這技術讓DYRE可以透過受感染的使用者來更快自動產生垃圾郵件。下面就讓我們來看看新的感染鏈。

蠕蟲WORM_MAILSPAM.XDP會連到寫死在程式內的命令和控制（C＆C）伺服器。接著它會從C&C伺服器取得所需的參數以產生垃圾郵件/釣魚郵件。WORM_MAILSPAM.XDP接著會利用微軟Outlook來發送電子郵件。這個蠕蟲會在執行完散播程序後將自身刪除。

DYRE的新閃避技術

它現在使用SSL協定來掩飾被傳輸的數據。SSL通常被用來防護登入網站時的密碼。現在DYRE利用其「安全性」來讓分析其通訊變得更加困難。跟去年10月所看到的DYRE變種相比，最近這次的版本對C＆C伺服器間的所有通訊都使用SSL協定。

圖2、C＆C伺服器和受影響系統間的網路流量。

如果DYRE無法連到寫死在程式內的C＆C伺服器，它會嘗試用兩種新方法來聯繫上惡意份子：使用網域生成演算法（DGA）功能所提供的網址，或是連到一個內建的隱形網計畫（I2P）地址。

使用I2P地址。類似於Cryptowall 3.0和Silk Road Reloaded，這個惡意軟體利用I2P網路來掩飾C＆C伺服器位置。I2P無法被一般瀏覽器所訪問。需要安裝I2P服務才能訪問I2P地址。

圖3、受感染系統會試著連到I2P地址。加密訊息會經過I2P網路上隨機選擇的機器才連到最終目的地。

使用網域生成演算法。新的DYRE變種會產生34字元長度的字串加上頂級網域（TLD）：.cc、.ws、.to、.in、.hk、.cn、.tk和.so來生成網址。這技術之前在A上看到過，好在內建地址被關閉後仍可聯繫到惡意份子。

圖4、擷取svchost記憶體內容出現的頂級網域

圖5、DYRE連上生成網址的例子

DYRE擴大目標名單

這個新DYRE變種擴大了目標網站名單，從原來的206個網站變成355個。大多數新增網站是不同國家內的線上比特幣錢包和銀行網站，但主要集中在美國。

更新過的DYRE變種會等待使用者連到任一目標網站再來執行資料竊取行為。被針對的銀行網站包括有摩根大通、巴克萊銀行、墨爾本銀行、花旗銀行等。

根據趨勢科技主動式雲端截毒技術的資料顯示，DYRE感染最嚴重的地方在美國，在一月佔了全部數量的68％，其次是加拿大（10％）和智利（4％）。

最佳做法和建議

始終保持小心警慎，注意利用電子郵件和附加檔案的社交工程攻擊。下載附加檔案前先確認自己知道寄件者是誰，因為這是這類病毒感染的典型進入點。DYRE和UPATRE惡意軟體都以會利用壓縮檔著稱，像是ZIP或RAR。

趨勢科技能夠保護使用者免於此一威脅，偵測垃圾郵件樣本、惡意網址及所有與此攻擊相關的惡意軟體。

相關雜湊值：

f50c87669b476feb35a5963d44527a214041cc2e – TROJ_UPATRE.SMBG

5250d75aaa81095512c5160a8e14f941e2022ece – TSPY_DYRE.YYP

9860d5162150ea2ff38c0793cc272295adf1e19a – WORM_MAILSPAM.XDP

趨勢科技PC-cillin 2015雲端版，可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載