JS编写的银行木马是怎样的存在?一起逆向来看看

Gootkit——在一些地方也被称为Xswkit ,是一款几乎完全用JavaScript编写的银行恶意软件。在这篇博客,我们将逆向该恶意软件,解密其webinject配置文件(该文件中包含的更多代码指令指明其攻击目标和如何进一步攻击)。

在被感染的计算机上发现的Gootkit是一个相对较小的加载器,一个Windows可执行文件,在执行虚拟机检测后,将下载和恶意代码绑定的Node.js引擎。恶意软件的这部分是比较大,大小几乎达到5MB。JavaScript的内部代码隐藏的很好,通过RC4算法加密。因此,开始分析其中一个加载器样本(MD5 b29089669c444cbdb62d89bf0e3c9ef8)。

成功脱壳后,我们应该来到了地址4040C7入口点:

接下来我们发现是一个Aplib解压缩程序。注意检查头部“AP32”DWORD,按照little-endian顺序:

在这个地址处设置断点并dump解压的缓冲区的内容,我们发现另一个嵌入的微小的可执行文件,这个文件稍后将被注入到explorer.exe中。这个二进制文件包含了一些有关VM检测的可疑的字符串:

这里发现一件有趣的事,它可以通过一个环境变量来控制。恶意软件作者必须为自己预留此功能方便自己测试,但我们可以从中获得很多东西:

我们在这里看到检查的环境变量是”crackme”,接着计算校验和,如果它匹配到某一个值,将跳过的VM检测。校验和是已知CRC32算法的变种。破解它不需要很长时间,“aHzkxc'是Gootkit接收的值。

该恶意软件使用由C&C服务器检查的硬编码用户代理。其中,有效载荷的下载网址:

hxxps://lovemeating.space:80 / rbody320(其目的尚不得而知) hxxps://lovemeating.space:80 / rpersist2 / 56080258(可能是持久性模块) hxxps://lovemeating.space:80 / rbody32(核心)

它采用80端口进行HTTPS连接通信。这些有效载荷通过API函数 RtlDecompressBuffer解压。下面我们将注意力集中在解压缩的DLL“rbody32”(MD5 d17f99eab2d8c6f3eb7b7f25b7631976),大约5MB!在大小上和上述的Node.js加载器差不多。我们可以观察到这看起来像嵌入的JavaScript文件:

这些记录包含偏移值和每个的脚本文件的大小信息。在下表文件中可以找到嵌入脚本的完整列表。 有一点需要注意的是,在这些脚本我们通常可以发现函数调用都与操作系统有关,不构成本地Node.js引擎的一部分,比如像Windows注册表操作,进程注入,或hook,这些都是当今银行恶意软件以欺骗网络浏览器至关重要的部分。因此,这些功能已经在C ++中实现,通过一个接口,使他们可以在JavaScript中使用。

好吧,单刀直入。在哪里存储webinjects呢?

在'client_proto_spyware.js“中,我们可以找到注册表项相关值:

检查注册表项,我们可以看到加密的二进制内容:

在脚本中跟踪这个值,我们发现一个名为“encryptDecrypt()”的引用。但是,我们似乎无法找到它的实现过程。当然,要记住:恶意软件的某些部分使用C++实现的。看看rbody32我们可以发现解密过程原来是一个相当简单的XOR以及一些除法和乘法:

在S21sec上我们已经收集到Gootkit的众多样本,我们已经观察到的是,这种威胁最严重的国家是法国和意大利,其中包括兴业,BANQUE人民银行,乐里昂信贷银行,法国巴黎银行等等。

*参考来源:securityblog ,FB小编老王隔壁的白帽子翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-05-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

大量Windows 0-day漏洞泄漏,安恒信息提供免费在线检测

北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers(影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 23...

2875
来自专栏极客慕白的成长之路

记一次Linux服务器被入侵变矿机

5815
来自专栏知识分享

2-学习GPRS_Air202(Air202开发板介绍和下载第一个程序)

2467
来自专栏沃趣科技

【Oracle 12c Flex Cluster专题 】— Leaf Node的故障迁移

原文链接 http://allthingsoracle.com/oracle-flex-cluster-leaf-node-failover/ 译者 周天鹏...

3579
来自专栏FreeBuf

利用esp8266制作一个可随身携带的WiFi密码钓鱼器

孙子兵法:故上兵伐谋,其次伐交,其次伐兵,其下攻城;攻城之法为不得已。 正是如此靠机器硬破不如直接问对方。 下面这就介绍下WIFI密码社工的进阶玩法 玩过Wi...

5654
来自专栏FreeBuf

Tunnel:论如何在内网中自由渗透

*本文作者:戒贤,本文属FreeBuf原创奖励计划,未经许可禁止转载 背景 能够成功地通过web漏洞获取到webshell,对于一次完整的渗透测试来说,仅仅相当...

35910
来自专栏ChaMd5安全团队

针对5.12大型比特币敲诈事件的漏洞分析及其预防方法

针对5.12大型比特币敲诈事件的漏洞分析及其预防方法 From ChaMd5安全团队核心成员 逍遥自在 2017年4年14日,NSA组织爆出了一份震惊世界的机...

42710
来自专栏FreeBuf

改造Nginx,让邮件系统也支持双因子验证

起 因 最近在研究双因子认证的时候突然想到:能不能在邮件系统中应用双因子验证呢?作为一个有了想法就想落地的四有好少年,我决定试试。 受制于文化程...

4569
来自专栏FreeBuf

卡巴斯基2017年企业信息系统的安全评估报告

卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述...

1423
来自专栏CDA数据分析师

Excel简化办公系列之二 | 录制宏快速制作工资条

本文为CDA作者青菜原创文章,转载请注明来源 编者按:CDA作者青菜将在近期发布「Excel简化办公」系列文章,本文是第二篇;更多精彩请持续关注~ 今天午饭后和...

2268

扫码关注云+社区

领取腾讯云代金券