網路犯罪分子其實都是機會主義者，隨著各類作業系統的應用範圍越來越廣泛，他們也在不斷地豐富自己的工具和技術。與此同時，為了儘可能地在網路犯罪活動中謀取更多的經濟利益，犯罪分子們在選擇受攻擊目標時也呈現出一種多樣化的趨勢。這也是惡意軟體的價值主張，現在越來越多的惡意軟體已經實現了跨平臺感染，如果能夠配合一種專門的商業模式來向其他的壞人兜售這些惡意軟體的話，那麼這些惡意軟體的影響範圍還會進一步擴大。

今天的主角是Adwind/jRAT，趨勢科技將其標識為JAVA_ADWIND。這是一款跨平臺的遠端訪問木馬（RAT），它可以感染任何安裝了Java的裝置，包括Windows、macOS、Linux和Android平臺。近期，我們在一次垃圾郵件活動中再一次檢測到了Adwind。但這一次，它主要針對的是航空航天工業領域的企業，受影響比較嚴重的國家地區包括瑞士、烏克蘭、澳大利亞和美國。

Adwind異常活躍

從今年年初開始，Adwind被檢測到的頻率就一直在穩步增長，從2017年1月份的5286次猛增到了6月份的117649次，而且我們基本上都是在垃圾郵件活動中檢測到的JAVA_ADWIND。值得注意的是，2017年5月到6月之間，JAVA_ADWIND的出現頻率增長了107%，這也表明網路犯罪分子正在積極地推送和傳播Adwind。

研究人員表示，Adwind/jRAT可以竊取使用者憑證、收集和記錄鍵盤資訊、儲存螢幕、電影或視訊截圖、以及從目標主機中提取資料。此前曾有攻擊者利用Adwind的變種版本攻擊銀行和丹麥企業，Adwind甚至還可以用受感染裝置組成殭屍網路。

作為一款臭名昭著的跨平臺RAT，Adwind還有很多其他的“暱稱”，例如jRAT、UNRECOM、AlienSpy、Frutas和 JSocket等等。在2014年，我們還發現了Android版本的Adwind/jRAT，令人驚訝的是，這個Android版本的Adwind竟然具備了挖礦的能力（涉及區塊鏈和加密貨幣）。實際上，Adwind是作為一種服務來進行出售的，這也就意味著任何一位網路犯罪分子都可以根據自己的需要來修改和定製自己的Adwind版本。

下圖顯示的是研究人員在2017年1月至6月期間檢測到JAVA_ADWIND的次數：

下圖為Adwind的感染鏈：

垃圾郵件活動主要通過兩種方式進行

我們所觀察到的垃圾郵件活動主要有兩波，而且都可以作為社會工程學的典型應用案例。我們在2017年6月7日觀察到了第一波感染，當時Adwind使用了不同的URL地址來向目標使用者傳播由.NET編寫的惡意軟體，而且這些惡意軟體還具備間諜軟體的功能。第二波感染在6月14日被觀察到，當時Adwind使用了不同的域名來託管惡意軟體和C&C伺服器。這兩波感染使用的都是相似的社會工程學技巧，即欺騙使用者去點選惡意URL地址。

攻擊者會假冒地中海遊艇委員會（MYBA）來向目標使用者傳送垃圾郵件，垃圾郵件的主題欄中寫的是“Changes in 2017 – MYBA Charter Agreement”，並通過這種方式嘗試給潛在的目標使用者造成緊迫感。除此之外，攻擊者不僅使用的是偽造的發件人地址（info[@]myba[.]net），而且還會在郵件中提供看似合法的內容來欺騙使用者點選惡意URL連結。

下圖為傳送至C&C伺服器的訊息截圖：

下圖為垃圾郵件截圖：

分析Adwind的攻擊鏈

惡意URL連結將會投放一個程式資訊檔案（PIF），PIF中包含關於Windows如何執行MS-DOS應用的資訊，並且可以像普通可執行程式（EXE）一樣直接執行。這個檔案採用.NET編寫，其功能相當於一個下載器。在成功修改了系統證書之後，這個PIF檔案便會啟動Adwind的感染鏈。

我們跟蹤的URL指向的是一個惡意PIF檔案（TROJ_DLOADR.AUSUDT）,其中包含各種與網路釣魚和垃圾郵件相關的HTML檔案，而這些HTML頁面很有可能就是攻擊者用來欺騙目標使用者點選惡意URL時所用的。

下載器會通過呼叫Windows API來嘗試修改系統證書：

如下圖所示，惡意程式碼成功修改了證書：

系統證書被惡意篡改之後，下載器便會從一個域名下載Java EXE、動態連結庫DLL和7-Zip安裝程式，而這個域名指向的是垃圾郵件操作者所使用的檔案共享平臺：

hxxps://nup[.]pw/DJojQE[.]7z
hxxp://nup[.]pw/e2BXtK[.]exe
hxxps://nup[.]pw/9aHiCq[.]dll

下圖顯示的是垃圾郵件操作者所使用的檔案託管伺服器域名：

應對措施

Adwind是一款基於Java的跨平臺惡意軟體，所以閘道器、終端節點、網路、 伺服器和移動裝置都有可能受其影響。廣大IT/系統管理員、資訊保安專家和開發者/程式設計師在使用Java工作時應該遵守最佳的Java安全實踐，並隨時保持Java版本為 最新版。

在Adwind攻擊鏈中，最重要的一個環節就是社會工程學技術了，這也表明我們現在急需對企業員工進行網路安全意識教育，並培養員工對垃圾郵件的敏感度：當你開啟一份電子郵件時，你在進行任何點選操作之前一定要三思而後行。

Adwind的主要感染向量為垃圾郵件，這也突出了保護郵件閘道器安全的重要性。電子郵件作為系統和網路的一個入口點，廣大管理員應該部署垃圾郵件過濾器、安全策略和電子郵件安全機制來緩解這種基於電子郵件的安全威脅。除此之外，管理員還應該部署最佳實踐方案來防止類似Adwind這樣的惡意軟體從你的網路（涉及BYOD）中竊取重要資料。

IoC入侵檢測指標

與Adwind/jRAT相關的檔案和URL：

hxxp://ccb-ba[.]adv[.]br/wp-admin/network/ok/index[.]php hxxp://www[.]employersfinder[.]com/2017-MYBA-Charter[.]Agreement[.]pif hxxps://nup[.]pw/e2BXtK[.]exe hxxps://nup[.]pw/Qcaq5e[.]jar

相關雜湊值:

3fc826ce8eb9e69b3c384b84351b7af63f558f774dc547fccc23d2f9788ebab4(TROJ_DLOADR.AUSUDT) c16519f1de64c6768c698de89549804c1223addd88964c57ee036f65d57fd39b(JAVA_ADWIND.JEJPCO) 97d585b6aff62fb4e43e7e6a5f816dcd7a14be11a88b109a9ba9e8cd4c456eb9(JAVA_ADWIND.AUJC) 705325922cffac1bca8b1854913176f8b2df83a70e0df0c8d683ec56c6632ddb(BKDR64_AGENT.TYUCT)

相關C&C伺服器：

174[.]127[.]99[.]234 Port 1033 hxxp://vacanzaimmobiliare[.]it/testla/WebPanel/post[.]php