第一章 分析概述

该恶意木马样本为运行于winodws平台上的PE文件（名称：evtdiag.exe）。文件大小为64KB，编译时间是2016年2月5日。

经分析，该样本为定制的攻击SWIFT客户端程序的恶意木马程序，未做加壳和代码混淆处理，主要功能是与本地的SWIFT客户端软件Alliance交互。该木马以windows服务形式运行，通过遍历读取SWIFT客户端软件Alliance安装目录下的配置文件和交易记录文件，从而获取Alliance的重要授权等配置文件。通过监控Alliance软件的收发报文并打印日志导出文件，攻击者通过监控日志分析学习Alliance软件的操作流程。该木马可以查询并修改Oracle数据库中的数据，完成相关账户信息的篡改，以便让程序完成伪造的转账请求。该恶意木马还通过一系列技术手段完成痕迹的消除，比如在获取Oracle操作结果时关闭数据校验和反馈、修改Oracle连接进程中内存数据绕过Oracle数据校验，并在最后删除数据库中获取的账户相关数据信息。

可以看出，攻击者完全获取了SWIFT客户端主机的控制权限，所以通过打印日志记录各种命令执行结果并深入分析。木马程序编写者具有专业的金融知识背景，完全熟悉SWIFT Alliance的操作流程，深入了解该软件的工作原理，甚至是数据库表结构和文件网络等各类信息格式，另外还做了很多反侦查的技术操作。

1.1 分析环境和方法

本次分析基于PE样本(名称：evtdiag.exe)进行，分析环境为WinXP，静态代码分析工具为IDA，动态调试工具为Ollydbg。

第二章 样本分析过程

2.1 启动方式分析

该恶意木马在启动时接收不同的启动参数，从而实现不同的功能。所接收参数有-P、-g、-svc、resume、pause、on、off、queue等。如图2-1所示。其中on、pause、resume、off、queue都是对日志记录功能的操作，-svc参数则是将木马以windows服务方式启动。

图2-1 启动参数分析

如图2-2所示，-svc参数则将木马程序以windows服务方式启动。该操作调用StartServiceCtrlDispatcherA函数完成，所运行的服务的名字为evtsys.exe，并且在服务启动之后才进行后续的操作。

图2-2 以windows服务方式启动

2.2 枚举Oracle连接进程，修改内存数据

该恶意木马运行中，通过枚举系统中的进程，查找加载了Oracle连接库liboradb.dll的进程，该进程是SWIFT客户端软件Alliance与Oracle数据库进行交互所依赖的。如下图2-3所示。

图2-3 枚举加载了liboradb.dll模块的进程

如图2-4所示，木马文件找到加载了liboradb.dll模块的进程文件后，通过修改内存的方式，对模块中的关键数据进行篡改。结合后续的一些运行行为初步推断，是对模块中的数据校验功能进行篡改，防止在修改账目过程中报错。

图2-4 修改Oracle连接进程中的内存数据

2.3 开启日志打印功能并进入关键处理函数

恶意木马开启日志打印功能sub_409460，便于记录每一步操作中的数据结果，如图2-5所示。同时进入关键信息窃取逻辑sub_409AF0。

图2-5 开启日志打印记录功能

如下图2-6便进入关键窃取信息的处理逻辑sub_409AF0，前面提到，当木马以服务方式启动时，便会执行该功能。

图2-6 sub_409AF0函数处理逻辑

图2-7 服务方式启动后即开始窃取信息

2.4 遍历SWIFT客户端软件Alliance目录文件

该恶意木马接着遍历swift客户端软件Alliance的安装目录，拼接不同的目录路径，读取Alliance目录文件，如下图2-8所示。

图2-8 读取swift客户端软件alliance的目录文件

其中，推断gpca.dat文件可能为alliance软件关键的配置文件，可能保存了用户转账过程中的信息，并进行了加密。该木马代码获取到该文件后进行了有效的破解。破解算法如下图2-9所示。

图2-9 可能的pgca.cat文件内容的解密算法

如果该木马程序未读取到gpca.dat时，会通过打印日志来记录。如下图2-10所示的CFG FAIL记录。由此来推断，gpca.cat是配置文件。

图2-10 读取swift客户端软件alliance的目录文件

另外，alliance目录下的mcm目录下存放了in和out两个子文件夹，该木马程序对这两个目录进行了遍历读取，如图2-11所示，并匹配查找其中.prc和fal文件，然后读取文件内容，如图2-12所示。初步推断为SWIFT转账时的转入和转出操作时对应的目录，其中存放了转账时转入或者转出的数据记录文件。

图2-11 遍历Alliance的in和out目录

图2-12 遍历匹配in、out目录中的特定文件

2.5 操作Oracle数据库，进行查询、更新等操作

该木马程序通过Alliance软件操作数据库，对Oracle数据库进行查询、篡改和删除操作。同时将Oracle的相关属性进行修改，清除Alliance客户端软件的记录，同时将查询到的数据信息导出到某一个文件中。程序最后还执行delete语句删除Oracle的数据记录。

如下图2-13所示，该木马程序通过设置一系列的set命令将数据反馈和校验关闭。然后通过创建进程执行sql语句，将每个执行结果导出到一个文件中，同时Alliance并未留下操作记录。

图2-13 更改 Oracle相关属性以屏蔽数据操作记录

如下图2-14所示，查询结果有Login字段。推断该操作应该是登录的授权信息的查询过程。

 图2-14 查询登录的账户信息

如下图2-15所示，该查询语句中有FIN_CCY_AMOUNT字段，推断是在查询账户的金额信息。

图2-15 查询账户金额信息

如下图2-16所示，该UPDATE语句中有FIN_CCY_AMOUNT字段，推断是在更新篡改账户的金额信息。

图2-16 修改账户金额信息

如下图2-17所示，最后通过delete语句删除数据库的信息，推测是转账交易结束后，对数据库记录的删除，以消除痕迹。

图2-17 删除数据库中相关信息

2.6 监控SWIFT客户端软件Alliance的通信信息

在确定配置文件路径和文件信息之后，循环处理Alliance客户端软件的通信信息，即监控该软件发出和接收的信息，如图2-18所示。将信息记录日志导出。推测攻击者利用该监测功能观察SWIFT通信过程中的交换报文格式，从而伪造转账的报文请求，篡改数据库，从而让SWIFT按照设定的指定发送转账交易请求，从而完成攻击过程。

图2-18 监控Alliance软件的通信信息

第三章 分析总结

该恶意木马样本为运行于winodws平台上的PE文件。文件大小为64KB，编译时间是2016年2月5日。

经分析，该样本为定制的攻击SWIFT客户端程序的恶意木马程序，未做加壳和代码混淆处理，主要功能是与本地的SWIFT客户端软件Alliance交互。该木马以windows服务形式运行，通过遍历读取SWIFT客户端软件Alliance安装目录下的配置文件和交易记录文件，从而获取Alliance的重要授权等配置文件。通过监控Alliance软件的收发报文并打印日志导出文件，攻击者通过监控日志分析学习Alliance软件的操作流程。该木马可以查询并修改Oracle数据库中的数据，完成相关账户信息的篡改，以便让程序完成伪造的转账请求。该恶意木马还通过一系列技术手段完成痕迹的消除，比如在获取Oracle操作结果时关闭数据校验和反馈、修改Oracle连接进程中内存数据绕过Oracle数据校验，并在最后删除数据库中获取的账户相关数据信息。

可以看出，攻击者完全获取了SWIFT客户端主机的控制权限，所以通过打印日志记录各种命令执行结果并深入分析。木马程序编写者具有专业的金融知识背景，完全熟悉SWIFT Alliance的操作流程，深入了解该软件的工作原理，甚至是数据库表结构和文件网络等各类信息格式，另外还做了很多反侦查的技术操作。