新型Ursnif银行木马：添加鼠标移动反检测技术

E安全7月27日讯 2017年7月，安全研究人员发现新型Ursnif银行木马利用巧妙的技术规避沙盒环境和自动化虚拟机，并根据鼠标移动检测真实用户是否在与计算机交互。

它的总体思路是检测鼠标光标的位置是否会移动，因为在安全测试与恶意软件分析环境中，鼠标光标在整个扫描和分析过程中会停留在同一位置。

360社区

Ursnif惯用技巧

Ursnif银行木马已经成为新恶意软件技术的滋生土壤。2016年夏天，Ursnif一直使用Tor匿名网络隐藏命令与控制服务器（C&C Server）。Ursnif 在此期间还测试并部署了其它创新反检测和虚拟机规避技术。以下是Ursif去年部署的技巧：

检查文件名

提交用于分析的文件通常被重命名为它们的MD5或SHA256哈希值，且仅使用十六进制字符——0123456789ABCDEFabcdef。如果Ursnif发现本地文件包含字母、数字、字符，例如t、R或#，它便知道自己在普通PC上运行。

检查本地PC的图形界面应用程序

虚拟机运行少量进程，以及非常少的图形界面进程。如果Ursnif样本发现进程数少于50个，便会停止执行，并思考自己是否在虚拟机内。

检查用户的IP地址

Ursnif会获取计算机的IP地址，并将其与安全公司或数据中心（研究人员租赁虚拟机的地方）分配的IP地址列表对照。

检查最近打开的文件

Ursnif会检查最近打开的文件数量。虚拟机上最近打卡的文件数量通常很少，因为没有用户使用该系统执行常规任务。

这些只是Ursnif去年部署的其中一些技巧。

通过三个嵌入式DLL文件进行部署

网络安全公司Forcepoint分析了Ursnif最近一起活动后发现，新版Ursnif今年4月开始使用鼠标移动检测技术。受害者会接收携带密码保护ZIP文件的垃圾电子邮件。解压此文件的受害者会看到三个Word文档。Word文档包含相同的恶意宏脚本。攻击者使用三个文件提高用户打开并遭遇感染的几率。

如果允许运行宏，Word文档会下载一个DLL文件，该文件会解压成另一个DLL文件，之后解压到第三个安装银行木马的DLL文件。

鼠标移动轨迹不仅可以用来检测是否存在真实操作用户或虚拟机，还能被用来暴力破解第二个DLL文件中的加密密钥，并用来获取第三个DLL文件。总之，Ursnif攻击者惯用这种高超 的技巧。

Ursnif 无意获取银行登录凭证

该版Ursnif最不寻常的部分在于，它重点提取Mozilla Thunderbird电子邮件客户端的联系人和密码，而非专注于窃取特定银行的登录凭证。

Forcepoint研究人员约吉高表示，该样本使用Thunderbird相关功能的原因尚不清楚，这可能是Ursnif攻击者首次尝试此类活动，这可能意味着Ursnif会在今后的版本中涉及更多电子邮件客户端或应用程序。