揭秘银行木马Chthonic:网银大盗ZeuS的最新变种

说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过垃圾邮件来传播,中招的会下载一个程序,这个程序会控制网银,偷取信息。近期卡巴斯基实验室发现了一款ZeuS的最新变种Chthonic。

2014年秋季,卡巴斯基发现了一款新的银行木马,之所以引起了卡巴斯基的注意是因为:

首先,从技术上来说这款病毒非常有趣,它使用了一种新技术加载模块。 其次,通过分析它的配置文件我们发现,这款木马针对的是大量在线银行系统:超过150家不同的银行,还有来自15个国家的20个支付系统。主要针对来自英国、西班牙、美国、俄罗斯、日本和意大利的银行。 卡巴斯基实验室将这款新病毒命名为Trojan-Banker.Win32.Chthonic。 虽然经过大量修改,我们还是察觉到这款木马是ZeusVM的变种。Chthonic使用与Andromeda bots相同的加密器,与Zeus AES和Zeus V2木马相同的加密方案,与ZeusVM和KINS类似的一款虚拟机。 感染方式

Trojan-Banker.Win32.Chthonic感染主机有两种方式:

发送带有exploits的电子邮件;
使用Andromeda bot(Backdoor.Win32.Androm)下载到受害者主机上。

发送带有exploits的电子邮件:犯罪分子会附上一个“精心制作”的RTF文件,文件会利用微软Office产品中的CVE-2014-1761漏洞。文件的使用的是.DOC后缀,为的是看起来不那么可疑。

如果成功的话,受害者的主机就会下载一个downloader木马。上图例子中,这个downloader木马来自一个被攻陷的网站 —— hxxp://valtex-guma.com.ua/docs/tasklost.exe。 Andromeda bot则会从hxxp://globalblinds.org/BATH/lider.exe下载downloader木马。

下载木马

一旦downloader被下载,就会向msiexec.exe注入代码。似乎这款downloader是基于Andromeda bot的源代码修改的,虽然两者采用了不同的通信协议。

Andromeda和Chthonic downloader的相似之处

Andromeda和Chthonic C&C采用了不同的通信协议

Chthonic的downloader包含一个加密的配置文件(KINS和ZeusVM也使用了类似的加密)。配置文件主要包括:一个C&C服务器列表,一个用于RC4加密的16字节密钥,UserAgent和僵尸网络ID。

调用虚拟机函数的主要过程

解密配置文件后,内容即被以以下形式储存在堆内存中:

这个过程没有传递指针。Andromeda bot会通过RtlWalkHeap函数检查每个堆元素,将起始的4个字节与MAGIC VALUE匹配。 downloader会收集本地IP,僵尸id,系统信息,语言信息,uptime和其他信息,然后先用XorWithNextByte进行加密,再用RC4,接着把信息发送到配置文件中指定的一个C&C地址。 发送信息后,木马会收到一个扩展加载器。不是标准的PE文件,而是一系列片段,加载器会把这些片段映射到内存,这些片段包括:可执行代码,重定位表,入口点,导出的函数和引入表。

Andromeda和Chthonic中的import setup片段

头文件

扩展加载器中还包含一个使用虚拟机加密的配置文件。它会加载木马的主模块,然后主模块会下载其他模块。扩展加载器本身使用AES加密,而其他片段是用UCL打包的。主模块加载其他模块,建立引入表的方式与Chthonic downloader很相似。

模块加载过程见下图:

模块

Trojan-Banker.Win32.Chthonic采用模块结构。至今为止我们已经发现的模块:

名称                    描述                               是否有64位版本
main             主模块 (v4.6.15.0 - v4.7.0.0)                 是
info             收集系统信息                                  是
pony             窃取保存的密码                                否
klog             Keylogger                                     是
http             Web注入和表单存取                             是
vnc              远程控制                                      是
socks            代理服务器                                    是
cam_recorder     使用摄像头录视频                              是

木马中有很多函数通过各种手段窃取在线银行的用户名密码。而VNC和cam_recorder模块能让攻击者远程连接感染的电脑并且进行交易,还可以用电脑的摄像头和麦克风录下视频音频。 注入

Web注入是Chthonic的主要武器:他们能够用木马在浏览器打开的网页代码中插入自己的代码和图片。攻击者能够借此获取受害者的手机号码,一次性密码和PIN,还有受害者输入的用户名和密码。 例如,当用户访问日本银行时,木马会隐藏银行的提示警告,并且插入脚本,使得攻击者能够使用受害者的账号进行转账:

在线网银网页截屏(注入前/注入后)

注入的脚本中的函数

注入的脚本也会显示很多假窗口,以获取攻击者想要的信息,如下图所示,窗口显示一个警告,警告用户账号认证有问题,提示用户输入交易验证码(TAN,Transaction Authentication Number):

交易验证码输入窗口

不过我们的分析发现针对俄罗斯银行的注入有点异常。当受害者打开一个在线银行网页时,网页的整个页面都被替换了,而不是像其他银行一样只注入一部分。木马会创建一个与原来窗口大小一样的iframe,覆盖原网页。

下图是注入的代码的片段,这段代码会替换title与body结束标记之间的内容:

脚本内容:

如果注入成功,bot就会收到指令建立反向链接:

覆盖区域

病毒袭击了15个国家的150家银行和20个支付系统。攻击者主要针对英国、西班牙、美国、俄罗斯、日本和意大利的银行。

Chtonic目标的国家分布

值得注意的是,尽管配置文件的列表中有很多目标,但很多用于web注入的代码片段已经不能用了,因为银行更改了他们的网页,有的银行甚至域名都改掉了。另外,有些代码片段我们几年前在其他病毒(例如Zeus V2)的配置文件中看到过。 总结

我们看到ZeuS木马仍然在不断更新完善,加入新的技术。这得益于ZeuS源码的泄露。所以很多写木马的把它拿来当框架了,任何人都可以加入新功能满足需求。 所以,以后我们无疑会看到更多的ZeuS新变种。 部分md5:

12b6717d2b16e24c5bd3c5f55e59528c
148563b1ca625bbdbb60673db2edb74a
6db7ecc5c90c90b6077d5aef59435e02
5a1b8c82479d003aa37dd7b1dd877493
2ab73f2d1966cd5820512fbe86986618
329d62ee33bec5c17c2eb5e701b28639
615e46c2ff5f81a11e73794efee96b38
77b42fb633369de146785c83270bb289
78575db9f70374f4bf2f5a401f70d8ac
97d010a31ba0ddc0febbd87190dc6078
b670dceef9bc29b49f7415c31ffb776a
bafcf2476bea39b338abfb524c451836
c15d1caccab5462e090555bcbec58bde
ceb9d5c20280579f316141569d2335ca
d0c017fef12095c45fe01b7773a48d13
d438a17c15ce6cec4b60d25dbc5421cd

[参考来源Securelist 译/Sphinx,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-12-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏听雨堂

jquery获取父级一级节点的序号

结构为:          <ul id="zdcd" style="display:none">             <li>              ...

2346
来自专栏安恒信息

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

一、概述   这个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之...

34510
来自专栏云鼎实验室的专栏

WannaCry 勒索病毒用户处置指南

2017年5月12日晚,勒索软件 WannaCry 感染事件爆发,全球范围99个国家遭到大规模网络攻击,被攻击者电脑的文件被加密,被要求支付比特币以解密文件。腾...

7.4K0
来自专栏大数据文摘

安全科普:什么是暴力破解攻击?如何检测和防御?

2847
来自专栏赵俊的Java专栏

Nginx 配置 HTTPS 强制跳转到 HTTP

1.9K4
来自专栏FreeBuf

漫谈攻击链:从WebShell到域控的奇妙之旅

做渗透测试时遇到的域环境经常就是要么太复杂我们搞不定,要么太简单进去就拿到域控没啥意思,这些显然都无法满足我们实践已掌握知识的刚需。同时为了给我们道格安全技术小...

1975
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–自建资产(资本投资订单)(164)-6 KO04维护最终结算的结算规则

4.8 KO04维护最终结算的结算规则 在本步骤中,将维护最终结算的结算规则。投资订单的状态将被设置为“技术性结账”。这一状态将允许订单的最终结算。 必须成功...

4016
来自专栏安恒信息

干货 | GlobeImposter家族的勒索样本分析过程

概述 近日来,安恒安全人员频繁接到用户单位服务器受到勒索病毒攻击,其中某医疗机构出现几十台设备蓝屏和数台设备被感染。经过分析判定感染设备的勒索软件是Globe...

1.7K8
来自专栏安恒信息

以银行为目标的Office 0day漏洞利用木马分析

步骤分析 近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析...

3467
来自专栏贺嘉的专栏

如何用Baas快速在腾讯云上开发小程序之系列3 :实现腾讯云COS API调用

本文分享了调用腾讯云对象存储(COS)接口,实现将图片上传到指定的 Bucket 功能;同时封装图片上传接口,用于实现微信小程序中上传商品图片功能。

1K0

扫码关注云+社区

领取腾讯云代金券