简介

研究人员检测到一个垃圾邮件活动，通过跨平台的远程访问木马（RAT）Adwind和后门XTRAT。垃圾邮件活动还会使用一个窃取信息的Loki(TSPY_HPLOKI.SM1)。

DUNIHI (VBS_DUNIHI.ELDSAVJ)是一个有后门和蠕虫功能的很著名的VB脚本，在某些单独的事件中，该脚本在垃圾邮件活动中与Adwind一起释放。Adwind-XTRAT-Loki和Adwind-DUNIHI背后的犯罪分子会滥用合法和免费的动态DNS服务器hopto[.]org。用不同的后门集应该是为了增加系统感染的可能性，如果一个恶意软件被检测到，其他的恶意软件就会尝试结束工作。

从2018年1月到2018年4月，一共检测到5535起Adwind样本量，受影响最大的区域有美国，日本，澳大利亚，意大利，台湾，德国，英国等。

图1. 2018年1月1日到4月17日Adwind的检测量

Adwind, XTRAT和Loki

利用的RTF文档(TROJ_CVE201711882.UHAOBGG)是通过Adwind, XTRAT,和Loki的一个后门集来完成。

图2.含有Adwind, XTRAT和Loki的文档

当利用的文档执行时，会从被黑的网站(hxxp://steamer10theatre[.]org/wp-admin/js/ehe[.]exe)下载Loki。Loki是一种木马释放器，会释放Adwind和XTRAT。

图3. 传播Adwind, XTRAT和Loki的垃圾邮件活动的感染链

释放的文件是有多种后门，anti-VM, anti-AV和高配置性的有效的RAT。Adwind和XTRAT会连接到相同的C2服务器：junpio70[.]hopto[.]org。

Adwind从2013年开始就开始活动了，可运行在所有主流的操作系统中，包括Windows, Linux, MacOSX, Android等，含有的后门功能有：

· 信息窃取

· 文件和注册表管理

· 远程桌面

· 远程shell

· 进程管理

· 文件上传，下载和执行

XTRAT和Adwind有一些相似的功能，比如信息窃取，文件和注册表管理，远程桌面等。除了这些以外，还有如下功能：

· 桌面截屏

· 通过webcam和麦克风录音

· 上传和下载文件

· 注册表操作（读，写和操作）

· 进程操作（执行和终止）

· 服务操作（开启，创建，修改和停止）

· 执行远程shell，控制受害者系统

与Adwind类似，会使用含有C2信息的加密配置文件。文件中的信息含有释放的二进制后门文件名，安装释放的后门文件的目录，注入进程的名，要使用的自动启动注册表入口，恶意软件ID，恶意软件群组名，恶意软件版本，恶意软件mutex，和发送窃取的keystroke数据到服务器的FTP信息（服务器，用户名，密码等）。

Adwind会从另一个被黑的网站(hxxp://lauramoretongriffiths[.]com/wp-content/uploads/2013/09/ieei[.]exe)下载恶意软件Loki。到2017年12月，Loki是在黑客论坛售卖的密码和加密货币钱包窃取器。Loki可以从FTP客户端，web浏览器和邮件客户端来获取数据。除了这些，Loki就会从IT管理工具PuTTY窃取数据，PuTTY是一个终端模拟器，系统控制台，网络文件传输应用。还有一个功能就是恶意软件加载器，可以记录keystrokes。

Adwind和DUNIHI

Adwind在另一个恶意软件集中，但DUNIHI不在。JAR释放器(JAVA_JRAT.DRP)是通过过垃圾邮件传播VBS释放器 (VBS_JRAT.DRP)，然后释放和执行DUNIHI和Adwind。VBS释放器会检查受影响的系统中是否有JRE（Java Run Environment），如果没有JRE环境，就会下载和安装JRE环境。没有JRE环境的话，Adwind就不能正常运行。

图4. 携带Adwind和DUNIHI的垃圾邮件

DUNIHI会有下面的后门功能：

· 执行文件

· 更新自己

· 卸载自己

· 下载文件

· 上传文件

· 枚举驱动

· 枚举文件和文件夹

· 枚举进程

· 执行shell命令

· 删除文件和文件名

· 终止进程

· 休眠

图5. DUNIHI的解码脚本

DUNIHi会连接到pm2bitcoin[.]com:62103，而Adwind/jRAT变种会连接到badnulls[.]hopto[.]org:3011。

总结

对于Adwind这样跨平台的威胁，我们需要一个多层的方法来确保网关、终端、网络、服务器和手机设备的安全。IT管理员需要经常性的对网络和系统补丁分发和更新。所有的Adwind变种都是通过email邮件传播的，所以确保邮件网关的安全就非常重要，邮件网关可以解决使用邮件作为系统和网络入口的攻击和威胁。社会工程也是垃圾邮件活动的重要工具，全体员工应该有一个安全的意识，避免陷入网络犯罪攻击的骗局。公司也要经常性的去培训员工，进行公司政策的审核，建立好的安全习惯。