网络银行木马DYRE知多少(1)

双11购物狂欢虽已过去。但购物热潮却并未退却。而这也带来了每年都会在这段时候出现的网络犯罪活动:

趋势科技已经看到大量伪造的银行电子邮件。也看到其它类型的垃圾邮件威胁,包含KELIHOS,VAWTRACK,甚至某些形式的419骗局。

趋势科技也目睹了银行恶意软件的添加。这个恶意软件家族变种试图窃取敏感信息,如银行认证信息和电子邮件账号具体数据。它们会利用信息窃取技术,一般会伪造跟银行站点一模一样的钓鱼网页,用来窃取用户的银行信息,如username称、password或卡号。再将窃来的信息发送到一个预先设定的电子邮件地址,代管server的暂存区或通过HTTP POST发送到一个网址去。

这一系列的文章着重于一个特定银行恶意软件。被侦測为TSPY_BANKER.DYR。在深入了解恶意软件本身后,我们会将这恶意软件威胁放入整个生态系,加上其连接的垃圾邮件。甚至包裹骡子诈骗(指将包裹寄送到别的地方的人,就跟“驴子”一样)。

这些人非常easy落入骗局。由于打着“easy致富”的名号。

关于DYR的一切

这被侦測的恶意软件跟DYRE(也被称为DYREZA,DYRANGES或BATTDIL)有关。

TSPY_BANKER.DYR跟DYRE变种有很多相似之处,能够从其行为看出:

1、能够通过浏览器注入来进行中间人攻击。此外也能够进行浏览器截图,窃取个人认证信息,并窃取如浏览器版本号等信息。

2、它窃取银行认证信息和监视对特定银行进行在线交易时的联机。

3、它会植入一个配置文件(通过C&C更新),里面包括了目标银行列表和bot ID(由计算机名称、操作系统版本号和一组32个字符标识符所组成),目标银行包括了国际、美国和欧洲银行。

4、它利用NAT会话传输应用程序(STUN)。一种位在NAT网络内之终端主机找出其公开IP地址的方法。它常被实时语音、视频通话和其它信息服务应用程序用来找出公开IP地址或是可被因特网所见的IP地址。

犯罪分子使用这样的方法来知道其恶意软件的确切位置(并可能知道谁试着去加以运行)。

(图1:STUN的截图)

5、它还能够下载一个VNC模块。

看看其网络行为来确认上面所描写叙述的细节:使用默认好的字符串格式来连到C&Cserver的443port。连接STUNserver;接受对内联机。

尽管没有出如今以下的截图,其所使用的用户代理版本号是Opera/9.80。

(图2:TSPY_BANKER.DYR的网络行为)

进入点

我们如今知道这个恶意软件会做什么。但它怎样进入和感染系统呢?

看看C&Cserver联机(port443)。这个port是HTTPS,意思是网络交易中涉及证书。从窃取的封包中取出证书后。我们能够拿到两个证书。

第一个证书自称来自Google,跟真正的Google证书相比較,你能够看出两者间的差异。

(图3:假的 Google证书)

(图4:真的Google证书)

同一时候,第二个证书包括一个特定值。这事实上是用OpenSSL做出自签证证书时的默认输入数据。

(图5:第二个可疑证书)

(图6:默认数据输入)

在SSL和HTTPS的设计中。一个可信任站点的特点之中的一个是须要有经过可信任认证机构(CA)认证的证书。使用(或反复使用)上面所显示的同样证书清楚地指出站点本身不值得信赖。

类似的嫌疑犯

我们决定交叉比对反复使用这些证书和会存取同样性质恶意软件的其它站点,并找到了两个被我们侦測为TSPY_ZBOT.WCDA和TROJ_UPATRE.WCDA的档案。接着我们检查了它们和我们原本的恶意软件(TSPY_BANKER.DYR)是否有共同之处,看看这两个档案的网络活动。

(图7:感染TSPY_ZBOT.WCDA系统的网络活动)

我们也检查HTTP标头来看看还有什么问题。找到了对C&Cserver的HTTP GET请求。

(图8:HTTP GET请求)

上述的网络活动有些惊人的相似之处,即:

1、DYR会连到STUNserver。和TSPY_ZBOT.WCDA一样。

2、DYR和TROJ_UPATRE.WCDA有着相似的联机,有恶意软件名称/版本号在HTTP/S请求中,还有其它相关网址字符串;

3、两者都会试着在对外通信时使用假的用户代理字符串;

4、反复使用伪HTTP/S证书;

垃圾邮件联机

感染后的行为并非TSPY_BANKER.DYR和TSPY_ZBOT.WCDA及TROJ_UPATRE.WCDA之间唯一的相似之处。它们也用同样的方法抵达。我们交叉比对同样时段内的此类恶意软件活动,找到这封垃圾电子邮件。

(图9:垃圾电子邮件样本)

这封电子邮件假装来自苏格兰皇家银行(RBS),分析后显示下面事项:

1、它用zip作为附件文件,解开后出现带有PDF图示,称为RBS_Account_Documents.scr的档案。此档案被侦測为TROJ_UPATRE.WCDA。

2、接着被植入的档案是exe,被我们侦測为TSPY_ZBOT.WCDA。

3、其实,HTTP GET请求 /ProfilePics/0809uk1.zip(如图 8所看到的)能够被解读为:

0809 ——可能是9月8日,我们看到全部的这些恶意软件和垃圾邮件的日期。

UK ——可能是指英国,RBS总部的大概位置。

感染系统是DYR恶意软件的最后一步了吗?并非。

除了窃取银行认证信息,DYR恶意软件还涉及还有一种威胁——包裹骡子诈骗。相关细节将在以后的文章中继续讨论,敬请期待。

时间: 2024-08-19 13:36:20

网络银行木马DYRE知多少(1)的相关文章

网络银行木马DYRE知多少(2)

在本系列上一篇文章中,趋势科技讨论了银行恶意软件DYRE的行为和进入点.然而,数据窃取并非此恶意软件的最后一步.这恶意软件还参与了另一项计划--包裹骡子骗局. 包裹和骡子 在趋势科技分析DYR恶意软件时,也发现了一个网页控制台--Global BlackPoint. (GlobalBlackPoint网站) 快速地进行在线搜寻,此网域已经出租一年多了.网站用户可以购买其所想要的东西. (待售物品) 然而,研究和有关此网页控制台内容的情报都指出一个事实,它被用作购买美国商品,再将其重新寄送到不同的

一次真实的比特币敲诈木马经历

一次真实的比特币敲诈木马经历 2017年2月18日,经历了一次"spora比特币敲诈"木马.之前见过一个人中过这种病毒,是CTB-locker,但是由于当时人家电脑里说没有重要文件,就给他将磁盘格了,重新分区装系统.据说,当时他是收到了一个邮件,点击了里面的附件,才中了木马的.这种病毒一般也是通过邮件的形式传播.这种木马将你相关格式的文件加密,然后想你索要比特币,否则在一定时间后,你所有的文件就损坏了. 昨天,我上网的时候,也没有点击什么敏感的网站,感觉就是普通的网站.然后打开一个网页

TCP常用网络和木马使用端口对照表

[开始-运行- CMD , 输入 netstat -an 然后回车就可以查看端口] 端口:0 服务:Reserved 说明:通常用于分析操作系统.这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果.一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播. 端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器.Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开.Irix机器在发

Atitit. Xss 漏洞的原理and应用xss木马

Atitit. Xss 漏洞的原理and应用xss木马 1. XSS漏洞1 2. XSS的用途2 2.1. 盗取cookie2 2.2. 刷新流量 刷分3 2.3. DOS 窃取隐私”.“假冒身份”.“WEB蠕虫3 2.4. 广告植入 弹窗 .信息收集 .流量转发 甚至是路由劫持3 2.5. 钓鱼攻击,高级的钓鱼技巧.3 2.6. 删除目标文章.恶意篡改数据.嫁祸.3 2.7. 劫持用户Web行为,甚至进一步渗透内网.3 2.8. 爆发Web2.0蠕虫.3 2.9. 蠕虫式的DDoS攻击.3 2

伪装收据通知,垂涎比特币和网络银行

网络犯罪分子和威胁幕后黑手经常会利用测试过的漏洞来感染用户系统,也借此去渗透企业网络.这凸显出修补系统和将软件及应用程序保持在最新状态的重要性. 趋势科技最近发现DYREZA恶意软件利用了旧的Adobe Reader和Acrobat漏洞(CVE-2013-2729).一旦成功地攻击此漏洞,就可以在受影响系统上执行任意程序代码. (垃圾邮件截图) DYREZA恶意软件使用伪装成收据通知的垃圾邮件作为感染媒介.它夹带着恶意PDF档案(被趋势科技侦测为TROJ_PIDIEF.YYJU).一旦执行,它会

【安全预警】暗云Ⅲ木马攻击预警

根据阿里云收到的最新安全威胁情报,近日,腾讯安全研究团队监控到暗云Ⅲ通过下载站大规模传播,可能与DDoS攻击相关并引发大规模攻击事件.该病毒通过感染磁盘MBR来实现开机启动,感染用户数量巨大,是目前已知复杂度最高感染用户数量最大的木马之一.此病毒还兼容X86.X64两种版本的XP.Win7等操作系统,影响范围十分广泛.同时该木马主要通过外挂.游戏辅助.私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使得木马得以乘机植入. 阿里云安全提醒您关注该事件并做好安全防护. 1.影响范围有哪些?

《信息安全技术》实验四 木马及远程控制技术

<信息安全技术>实验四 木马及远程控制技术 实验目的 剖析网页木马的工作原理 理解木马的植入过程 学会编写简单的网页木马脚本 通过分析监控信息实现手动删除木马 实验内容 木马生成与植入 利用木马实现远程控制 木马的删除 实验人数 每组2人,本组为20155314 20155304 实验环境 系统环境 Windows Server 2003虚拟机 网络环境 交换网络结构 实验工具 网络协议分析器 灰鸽子 监控器 实验类型 设计性实验 实验原理 一.网页木马原理及相关定义 浏览器是用来解释和显示万

教你检测门罗币挖矿木马

MS016小组(原创) 前言: 随着比特币的成功,越来越多的山寨币开始模仿. 因为有些人,在比特币刚开始的时候,感觉不靠谱 错失了挣钱的良机. 所以现在很多人后悔了 , 就开始寄托于别的币  , 所以有些人投入机器挖矿. 而黑客呢 掌握技术 也等同于掌握机器!也不是所有机器都能挖矿的 , 当然以黑客的视角去思考问题,一般的黑客都是通过. 这里有张流程图 ,根据爆出来的已知漏洞 而且危害很高的 比如ST – 045 等等 , 而且像苹果系统mac os 也能挖矿  linux挖矿比window挖矿

【漏洞预警】模块化银行木马

Emotet恶意软件 系统受影响 网络系统 概观 Emotet是一种先进的模块化银行木马,主要用作其他银行特洛伊木马的下载程序或删除程序.Emotet仍然是影响州,地方,部落和地区(SLTT)政府以及私营和公共部门的最昂贵和破坏性的恶意软件之一. 该联合技术警报(TA)是多国信息共享和分析中心(MS-ISAC)分析工作的结果,与国土安全部(DHS)国家网络安全和通信集成中心(NCCIC)协调. 描述 Emotet仍然是影响SLTT政府的最昂贵和最具破坏性的恶意软件之一.其类似蠕虫的特征导致网络范