“Carbanak”回来了

就在最近,国际战略研究中心(CSIS)进行了取证分析,发现Windows客户端有被破坏的危险,并企图对网上银行交易进行欺诈。作为取证分析工作的一部分,我们成功的分离出一个带有数字签名的二进制文件,这就是后来我们所确定的新的"Carbanak"样本。

10亿美元大劫案

Carbanak(又名 Anunak)已经存在了好几年,卡巴斯基的研究人员在2015年二月份发布的标题为“银行大劫案:Carbanak网络团伙从100家全球金融机构窃取了10亿美元”的报告中强调过它。正如预期的那样,这样一个吸人眼球的标题会迅速引起国际媒体的注意,并在几天后占领了媒体头条。

而此时,在Carbanak的故事闯入媒体的时候,一些来自国际战略研究中心的研究人员正在参加在墨西哥举办的“卡巴斯基安全分析峰会(TheSAS2015)”。很快我们就忙于回答关注此事件的客户的各种问题。正如我们在那段时间的调查的进展,事实证明,我们的客户并没有受到Carbanak攻击。

不幸的是,这不会永远持续下去。如前面所述,在上一周我们发现了Carbanak的新变种。从我们的分析来看,很明显,Carbanak回来了,并且已被证实它瞄准了在欧洲和美国的大公司。攻击方法是网络钓鱼。

第一个新变种

前面已经提到过,Carbanak的新变种进行数字签名。在被感染的Windows 7主机上,安装位置如下:

C://Program//DataMozilla//svchost.exe

在Windows XP中的位置为:

C://Documents and Settings//All Users//Application Data//Mozillasvchost.exe

与此同时,它增加了一个系统启动项的注册表,以便在系统重新启动后代码被执行。

在对代码逆向之后,我们能够确认文件夹和文件名都是“硬编码”的,因此这个可以作为它的一个特征指示符。Carbanak将自身注入到svchost.exe进程中,通过这种方式,可以在内存中隐藏自己。

至于其他一些高级的数据窃取技术,Carbanak是利用插件来实现的。该插件使用Carbanak自身的协议,并与通过硬编码的IP地址的443端口进行通信。在我们的分析过程中有两个插件下载安装了,分别为“wi.exe”和“klgconfig.plug”。他们都已经在卡巴斯基报告被提到过。

当与C&C服务器进行通信时,BOTID为一个预定义的字符串“yamota0”和后面紧跟着的一个16字节的随机生成的字符串组成。

如下图:

新的变种和以前观察到的Carbanak样本之间存在如下一些差异:

- 新的地理目标 - 新的专有协议 - 使用随机文件(即主要部分是静态的)和互斥 - 预定义的IP地址(以前的样本使用域名)

对于新的样本,C&C服务器连接到了一个知名的托管公司——Bulletproof。

已签名的Carbanak恶意软件

如下图所示,Carbanak的这个新变种使用了Comodo(俗称毛豆)进行数字签名:

证书有效日期为2014/10/02至2015/10/03.

经过一些调查之后,我们定位到一些与“BLIK”公司相关的信息。

公司注册登记日期:2014年4月3日

董事长:Chunyaeva Svetlana Alexandrova

公司地址:123298, Moscow, street. Berzarina, 7, 1

该公司的注册信息表明,“其他批发”为“BLIK”公司的主要业务活动。该组织还经营以下非核心业务:

- 木材和建材批发业 - 食品,饮料和烟草的批发贸易 - 水果和蔬菜批发市场 - 肉,禽,产品的批发和肉类罐头 - 奶制品,鸡蛋和食用油脂批发 - 酒类和其他饮料批发

在进一步的搜索之后,我们设法找到一个与此公司相关的域名:bliksco.com

更新日期:2015-04-01 17:55:18.274469 创建日期:2014年10月1日 注册名称:Svetlana Chunyaeva 注册机构:BLIK 注册街道:Berzarina,7,1 注册城市:莫斯科 注册人邮编:123298 注册国家:俄罗斯联邦 注册电话: +7.4997030345 注册邮箱:admin@bliksco.com

一个有趣的问题是,因为它有时的确存在这样的情况:“为什么一个公司的业务领域内的工作永远需要一个代码签名证书?”。

这让我们有了一些看法:

- 公司注册和颁发证书的日期之间的时间内表明犯罪分子可能使用了被盗的假身份证或护照注册了自己的公司。 - 这一次,犯罪分子明显注册了一个真实的公司,而不是使用偷来的证书进行代码签名,因为他们以前曾被卡巴斯基报告披露。 - 我们推测,这家公司的主要目的是从事欺诈交易。正如卡巴斯基报告中所指出的,Carbanak的转移金额是相当巨大的。也许,他们已经注册了一个公司,并开设了银行账户,以转移他们的赃款,同时对转移的过程具有完全的控制权。

结论

Carbanak就是我们定义的一个金融APT。它非常有针对性,感染数量较少。另外,我们观察到它至少有四种不同的新变种,并且瞄准了大型国际企业的个人财务。

我们打算发布我们的Carbanak分析报告。同时样本也已共享给信任的伙伴,以确保检测工作的展开,杜绝各种安全解决方案的威胁。

* 参考来源:CSIS,译者/丝绸之路,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-09-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器人网

工程师须知:关于伺服电机的21个关键问题

工业机器人电动伺服系统的一般结构为三个闭环控制,即电流环、速度环和位置环。一般情况下,对于交流伺服驱动器,可通过对其内部功能参数进行人工设定而实现位置控制、速度...

2888
来自专栏安恒信息

勒索病毒频发,怎样才能让用户高枕无忧?

某用户近日出现多台主机系统资源利用率居高不下,部分系统出现蓝屏情况,安恒安全人员紧急响应,在用户单位核心交换机旁路部署APT攻击预警平台,通过实时检测发现大量S...

1181
来自专栏FreeBuf

最新漏洞利用包可租用每天需80美元

? 近日,以色列网络安全公司IntSights Cyber Intelligence透露,一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息...

41211
来自专栏Java学习网

DDoS攻击的发展和应对

尽可能地对被攻击目标造成最大程度的资源破坏是DDoS攻击的根本初衷。站在这个角度上来看DDoS攻击的发展,可以梳理出清晰的脉络。 ? 三个发展阶段   ...

4595
来自专栏量化投资与机器学习

在线矩阵微积分工具,可以生成 Python/Latex 代码哦!

社区在线技术交流群 https://bbs.mlqi.org (大家多去逛逛哈) 今天给大家介绍一个实用的在线小工具,矩阵微积分在线生成 Python/Late...

2765
来自专栏FreeBuf

针对一伙WordPress犯罪团伙的深度技术分析

本文阐述了如何对一个黑产团伙追根溯源。据Wordfence监控数据显示,这个被称为JerseyShore的团伙的主要攻击目标为金融和假冒体育服装类网站。通过本文...

2036
来自专栏tiane12

国内主流机房IP段

6983
来自专栏程序员宝库

区块链现史诗级漏洞,可完全控制虚拟货币交易;Node.js 10.3.0;这张毕业照,只有一个女生!但她说IT男暖起来女孩都嫉妒

5 月 29 日,据 360 安全卫士官方发布,360 Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 E...

1273
来自专栏知晓程序

国家邮政局出手了!只需一个小程序,上百家公司快递轻松查、寄 | 国家队 #12

在微信小程序的服务范围中,「政务民生」是一个不容忽视的大类。这预示着,未来只要用手机,就能处理大量公关事务,享受公共服务。

1173
来自专栏菜鸟程序员

Android勒索软件黑产研究:恶意软件一键生成器

2383

扫码关注云+社区

领取腾讯云代金券