Untitled

# 銀行木馬 (Banking Trojan) 惡意軟體分析報告

## 執行摘要

分析的樣本是一個精密的銀行木馬，專為竊取金融憑證和電子郵件帳戶而設計。透過Cuckoo沙盒分析和VirusTotal結果，可確認此樣本具備多種高級持久性機制、防禦規避技術和憑證竊取功能。

## 樣本基本信息

| 屬性 | 值 |
|------|-----|
| 檔案類型 | PE32執行檔 (GUI) Intel 80386 |
| MD5 | c460a4e12071f4170eadca09d167aaf5 |
| SHA256 | a411b625756ed54d299ad0ac967b2d4fd88654710565d4f3d9fcc24241849a88 |
| 檔案大小 | 2,937,344 bytes |
| 偵測率 | 60/72 (VirusTotal) |
| PE時間戳 | 2018-01-13 03:31:42 |
| 主要識別 | Trojan.Spy.Banker / Banking Trojan |

## 惡意軟體生命周期（MITRE ATT&CK框架）

```
[初始存取T1566]      [執行T1059/T1204]     [防禦規避T1027/T1036]    [持久性T1547]
    釣魚郵件      →  使用偽裝為CHKDSK0   →  使用打包器混淆代碼    →  註冊表Run鍵自啟動
       ↓                   ↓                      ↓                    ↓ 
[憑證獲取T1056]      [系統探測]          [命令與控制T1071]       [數據收集T1005]
 SMTP憑證竊取    →  執行DNS查詢     →   嘗試與C2服務器通信   →  創建數據存儲檔案
    (郵件竊取)                               ↓                       ↓
                                       [數據傳輸]              [對目標影響]
                                     竊取數據外傳           金融憑證被盜用
```

## 詳細技術分析

### 1. 初始存取與執行

樣本經過精心打包以規避靜態檢測：
- **使用異常PE節**：發現非標準節名稱 `.itext` 和 `.didata`
- **執行偽裝**：執行檔偽裝為系統工具 `CHKDSK0.exe`
- **使用Python環境**：檢測到使用 `pythonw.exe`（無窗口Python解釋器）以隱藏執行

### 2. 持久性機制

樣本通過多重方式確保系統重啟後仍能執行：
```
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\CHKDSK0 → C:\Users\Agent\AppData\Roaming\CHKDSK0.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CHKDSK0 → C:\Users\Agent\AppData\Roaming\CHKDSK0.exe
```

### 3. 防禦規避技術

- **記憶體保護操作**：分配可讀寫執行(RWX)記憶體區域，通常用於解包或執行動態生成的代碼
- **反分析技術**：進程崩潰顯示可能存在反調試機制
- **命名偽裝**：使用類似系統工具的名稱避免使用者懷疑

### 4. 憑證獲取能力

成功捕獲到樣本竊取SMTP憑證的行為：
- 用戶名: `sandra@arquitetonica.com.br`
- 密碼: `sandra1234`
- 目標郵件服務器: `191.252.112.195:587`

### 5. 網絡通信

樣本執行DNS查詢以測試連接性並嘗試訪問命令控制服務器：
- `mail.arquitetonica.com.br`（可能是C2服務器或憑證提取目標）
- `time.windows.com`（可能用於檢測虛擬環境）
- `teredo.ipv6.microsoft.com`（網絡功能測試）

### 6. 數據收集

創建數據存儲檔案：
- 路徑: `C:\Users\Agent\AppData\Roaming\winup17.dat`
- 可能用途: 存儲竊取的憑證或具有鍵盤記錄功能

## MITRE ATT&CK映射

| 戰術 | 技術 | 說明 |
|------|------|------|
| **初始存取** | [T1566] 釣魚 | 推測最初傳播途徑為釣魚郵件 |
| **執行** | [T1059.006] Python解釋器<br>[T1204] 用戶執行 | 使用Python環境<br>偽裝為系統工具促使用戶執行 |
| **持久性** | [T1547.001] 註冊表Run鍵 | 修改註冊表確保系統啟動時自動執行 |
| **防禦規避** | [T1027] 混淆文件<br>[T1036] 偽裝<br>[T1045] 軟體打包<br>[T1497] 沙箱逃避<br>[T1218] 系統二進制代理執行 | 使用打包技術混淆代碼<br>使用系統工具名稱偽裝<br>打包以規避靜態分析<br>包含反調試和檢測機制<br>利用pythonw.exe執行隱藏活動 |
| **憑證存取** | [T1056.001] 鍵盤監控<br>[T1113] 螢幕擷取 | 竊取SMTP登錄憑證<br>推測有螢幕截圖功能 |
| **命令與控制** | [T1071] 應用層協議<br>[T1095] 非應用層協議<br>[T1573] 加密通道 | 使用Web協議進行通信<br>使用直接TCP連接<br>可能使用加密通信 |
| **收集** | [T1005] 本地系統數據<br>[T1114] 郵件收集<br>[T1119] 自動收集 | 創建數據存儲文件<br>針對電子郵件憑證<br>自動收集用戶憑證 |

## 結論與威脅評估

此銀行木馬代表一種複雜的金融威脅，專為竊取銀行憑證和電子郵件帳戶而設計。其主要特點包括：

1. **高度針對性**：專門針對特定電子郵件服務(arquitetonica.com.br)，表明可能針對巴西或葡語地區用戶
2. **多層次偽裝**：使用系統工具名稱和無窗口執行方式隱藏真實意圖
3. **持久性機制**：使用多重註冊表項確保系統重啟後繼續執行
4. **複雜的防禦規避**：使用代碼打包、反分析技術和偽裝來逃避檢測

**總體風險評估**: 高
- 此樣本能夠竊取金融憑證和電子郵件帳戶，可能導致財務損失
- 高達83%的殺毒引擎識別出此樣本為惡意軟體
- 證據顯示此樣本專為資料竊取而設計，不具有加密或系統損壞功能

**建議防護措施**:
1. 檢查註冊表Run鍵中的可疑項目
2. 監控具有RWX記憶體分配的程序
3. 實施基於行為的防護以檢測SMTP憑證竊取
4. 定期更改電子郵件和銀行憑證
5. 使用二因素認證保護敏感帳戶