木马利用“云服务”存放盗窃而来的Word、Excel文档
趋势科技最近发现有恶意软件会从中毒用户的电脑中收集微软Word和Excel文档,然后上传到网络硬盘sendspace.com。Sendspace是一个网络硬盘服务,提供了文件存储功能,可以让用户“发送、接收、追踪和分享大体积文件。”
Sendspace最近曾被用于存放偷窃来的数据,但并不是通过恶意软件自动进行的。根据去年底的报告,黑客会利用Sendspace来处理并上传偷来的数据。但这是第一次,趋势科技发现有恶意软件会将窃取的数据直接上传到文件存储与共享网站。
这次的恶意软件攻击是从一个被命名为TROJ_DOFOIL.GE的文件:Fedex_Invoice.exe开始的。为了感染用户,该恶意软件会利用社会工程学陷阱伪造成联邦快递货运通知电子邮件,并将这样的邮件群发给大量目标用户。
一旦运行邮件附件中的文件,就会执行TROJ_DOFOIL.GE并下载TSPY_SPCESEND.A。这个下载器同时还会在被感染的电脑上安装其他恶意程序,包括来自BestAV网络联盟的假防毒软件变种,以及来自Yamba网络的FakeHDD变种。
另外,这个木马下载器还会与TSPY_SPCESEND.A共用同一套控制服务器。这也强烈地证明开发文件窃取用Sendspace木马的犯罪份子,同时也涉足了按成交量计费的地下经济领域。
TSPY_SPCESEND.A是一个“拿了就走”的木马程序,它会在中毒电脑的本地硬盘中寻找微软Word和Excel文档。收集到的文件会被压缩并保存到用户的临时文件夹中,此外在压缩时还会使用随机生成的密码进行加密。下图就是一个收集了文件并将其加密压缩后的范例:
创建好压缩文件后,TSPY_SPCESEND.A会将其发送到Sendspace.com:
一旦完成上传,这个恶意软体会取得Sendspace的下载链接,然后将该链接与压缩时使用的密码一起发送到控制服务器。
下图所示的就是存放了所收集到的压缩文件的Sendspace网页截图:
将偷来的数据放到外部文件存储系统,这种做法成了新的趋势
恶意软件利用免费的网络服务,这并不算新闻。利用公开的网络空间是犯罪份子存放所盗取数据的一个非常聪明的做法,因为他们并不需要搭建一台专门用于保存数据的服务器。
趋势科技认为,这种将盗窃来的数据保存到外部网络,或网络存储服务网站的做法很可能会快速成为犯罪分子的新趋势。我们已经发现很多案例会将盗取的数据保存到网络犯罪分子所持有的域名下,而现在,我们也发现合法的“云服务”也被犯罪分子加以利用,他们可以通过这些服务存储并提取他们的战利品。
另外,这也将成为安全产业和用户需要面对的一个非常严重的问题。文件窃取和外泄不仅会发生在目标攻击手段中,也有可能发生在大规模的攻击活动里。
指挥和控制服务器
当恶意软件将含有受害者文件的ZIP压缩文件上传到sendspace之后,还会将sendspace的下载链接与唯一ID、ZIP压缩文件的密码,以及受害者的IP地址结合在一起发送个指挥和控制服务器。
在撰写这篇文章的过程中,趋势科技发现了至少三个被恶意软件按照这种方式利用的指挥与控制服务器:{BLOCKED}28889.ru、{BLOCKED}8483825.ru,以及{BLOCKED}372721.ru。这三个域名指向的IP地址是31.184.237.143和31.184.237.142。这些IP地址和其他IP地址都在同一个网段里,从2011年7月开始就被记录曾放有恶意文件。这些恶意文件包括各种��尸网络的变种,例如BFBot(Palevo)、NgrBot,以及IRCBot。
更深入地发掘这个命令与控制服务器的目录结构后,我们发现了一个“开放目录”,里面包含了一个记录有下列信息的日志文件:
有两个日志文件似乎保存了相同的数据:log.txt和serialse.txt。唯一不同的是serialse.txt被自动过滤解析,并转换成新格式(似乎是JSON格式)。日志文件的内容则是关于受害者和上传的信息,如下图所示:
趋势科技分析了这个日志文件,发现有18,644个不重复受害者(根据恶意软件所分配的ID编号),21,929个不重复IP地址(遍布150多个国家),并有19,695个不重复的sendspace下载链接。
| 国家 |
受害者(根据IP) |
| 美国 |
13,939 |
| 英国 |
1,877 |
| 印度 |
669 |
| 加拿大 |
619 |
| 澳大利亚 |
568 |
| 西班牙 |
391 |
| 中国 |
304 |
| 墨西哥 |
292 |
| 土耳其 |
206 |
| 哥伦比亚 |
189 |
| 德国 |
178 |
| 阿联酋 |
139 |
| 南非 |
134 |
| 法国 |
121 |
| 荷兰 |
120 |
有些受害者可以根据IP地址从网络地址分配机构的WHOIS数据库中查到。虽然查询结果大部分都属于公开的网络服务供应商的IP地址范围中(因此受害这可算作是普通的个人或商业用户),但我们也从中发现一些属于政府机构、学术机构和大企业网络的受害者。
趋势科技和Sendspace所做的努力
趋势科技在发现该攻击后联系了sendspace,并与他们分享了我们的研究结果,以便协助他们部署适当的解决措施。
在上报该攻击后,sendspace找到并删除了他们服务器上超过75,000个压缩文件。根据上传记录显示,第一个压缩文件是在2011年12月25日上传的,这很可能也是这次恶意攻击活动的开端。
根据sendspace和趋势科技合作的结果,他们目前正通过一个自动化的工作机制监控他们的服务器,该机制可以每分钟检查一次是否有sendspace木马上传压缩文件,如果发现就将其加以封锁。这样做可以有效地将无辜受害者被偷的文件从服务器上删掉,也就可以防止这次攻击的幕后黑手下载所盗取的文件。
趋势科技很高兴能协助sendspace解决这样滥用服务的行为。尽管如此,类似的攻击方式肯定还会继续出现。一如往常地,趋势科技会通过各种努力,帮助大家将互联网变成更安全的地方。
@原文出处:Malware Uses Sendspace to Store Stolen Documents
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享 http://www.iqushi.com
官方微博—拿礼品/分享最新IT资讯 http://t.sina.com.cn/trendcloud
趋势科技CEO:陈怡桦EvaChen的微博 http://weibo.com/evatrendmicro