专栏首页FreeBuf俄罗斯浮现新型银行木马Silence,或与Carbanak有关

俄罗斯浮现新型银行木马Silence,或与Carbanak有关

近日,卡巴斯基实验室的研究人员发现了一种新型木马——Silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。

卡巴斯基的 GreAT 调查小组表示:

2017 年 9 月,我们发现了一种专门针对金融机构的网络攻击,受害者大多集中在俄罗斯银行。攻击者使用了一种十分有效的技术来窃取银行资金:长期访问银行内网,监控职员日常工作,了解银行内部的运作过程和日常软件,然后利用这些信息窃取更多的钱。

虽然没有直接线索将该木马和臭名昭著的 Carbanak 组织(该组织专门对银行进行网络攻击)联系在一起,但攻击者的作案手法和 Carbanak 类似。从这点上可以看出,Silence 很可能是 Carbanak 的故技重施,或是别的组织在看了安全公司对 Carbanak 的技术分析后,仿效了这次攻击。

Silence 攻击是如何发生的

研究人员对整个攻击事件进行了还原,发现最初的攻击手段很常见,攻击者首先拿到了银行雇员的电子邮箱账号。(有可能是使用了恶意软件,也有可是使用了以前网上泄露的账号密码。)

Silence 利用银行员工的账户向其他银行同事发送钓鱼软件。目的是为了找出哪些人可以访问银行管理系统。

钓鱼邮件

这些邮件包含 CHM 附件(编译后的 HTML 文件)。如果受害者下载并打开了这些附件,CHM 文件就会运行一段 javascript 代码,并下载恶意程序执行第一阶段的 playload。

CHM 格式文件:

CHM是英语“Compiled Help Manual”的简写,即“已编译的帮助文件”。CHM是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。 CHM文件格式是微软1998年推出的基于HTML文件特性的帮助文件系统,以替代早先的WinHelp帮助系统,它在Windows 98中把CHM类型文件称作“已编译的HTML帮助文件”。被IE浏览器支持的JavaScript、VBScript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,CHM同样支持,并可以通过URL与Internet联系在一起。

研究人员表示该恶意程序是一个“dropper”,它是一个 Win32 可执行程序,可以将受害者电脑中的数据发送到攻击者的 C&C 服务器上。

Silence 工作原理:不断截屏,记录受害者电脑工作情况

如果攻击者认为受感染 PC 有利用价值,他们就会发送第二阶段的 playload——Silence 木马,它的主要功能就是不断截屏受害者的电脑桌面

这些截图的拍摄间隔很短,然后会上传到 C&C 服务器上,这样就创建了一个可以监视员工活动的伪视频流。

C&C IP

攻击者之所以选择屏幕截图这样的方式,而不录制实际的视频, 好处在于这样可以利用较少的 PC 资源,这样就很难检测到它,这也是 Silence 名字的缘由。

然后攻击者可以查看这些截图,从中寻找他们可以进一步利用的信息,比如银行内网资金管理系统后台网页 URL,可以利用的本地应用程序,或者审视银行内网电脑的大致情况。

研究人员表示,攻击者在整个过程的后半段,利用的是合法的 Windows 管理工具在后台运行,成功隐藏了自己行踪,而这正是 Carbanak 以前使用过的技术。

此之后的攻击细节,卡巴斯基没有透露,而涉及哪些银行,偷走了多少钱,也没有透露。

这些银行劫匪越来越有“创意”

Silence 出现标志着犯罪分子已经将攻击目标从普通用户转向了银行,因为对比用户来说,银行能窃取的钱要更多。随着越来越“高级”的银行网络抢劫事件的发生,这种趋势越来越明显,无论银行的安全架构多么完善,攻击者悄悄行事的“作风”还是令人担忧。

针对俄罗斯银行的网络攻击,Silence 已经不是第一次了。早在以前,Trustwave SpiderLabs 就发现了另外一个黑客组织,使用“overdraft” 技术来攻击银行,从几个东欧金融机构窃取了 4000 万美元。

而 Carbanak 以前的活动还使用过 Google 合法服务(Google Apps Script, Google Sheets, 和 Google Forms )部署 C&C 服务器,并诱骗银行技术支持部门员工打开含有恶意软件的文档。而这些员工的电脑在后续的侦测数据和直接攻击中起到了关键作用。

Silence 木马更详细的技术分析,IOCs,可移步卡巴斯基发布的报告。

参考链接:

https://www.bleepingcomputer.com/news/security/-silence-trojan-records-pseudo-videos-of-bank-pcs-to-aid-bank-cyber-heists/

http://www.securityweek.com/new-silence-trojan-used-ongoing-bank-attacks

http://securityaffairs.co/wordpress/65061/cyber-crime/silence-group-bank-attacks.html

本文分享自微信公众号 - FreeBuf(freebuf),作者:liki

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-11-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 域渗透:使用蜜罐检测出Kerberoast攻击

    我们知道,如果攻击者进入域(内网)环境中,攻击影响不敢想象,所以最重要的是快速检测它们。防病毒和EDR解决方案在检测和阻止攻击者方面已经走了很长一段路,但是牛批...

    FB客服
  • PAN OS操作系统曝“10分”罕见漏洞,需立即修复

    今天,美国网络司令部发布Twitter:“请立即修补受CVE-2020-2021影响的所有设备,尤其是在使用SAML的情况下。”

    FB客服
  • 魔兽世界中招:一条命令行就能劫持你的游戏!

    最近出现了一种涉及社工技术的新型游戏攻击骗局,攻击者利用了魔兽世界(World of Warcraft,WoW)游戏插件中一个隐藏的功能。 新型攻击 想象一下这...

    FB客服
  • VM虚机无法重启关机的强制处理办法

      有一台虚机无法正常网络连接,通过VSPHERE CLIENT连接到VC中,也无法对其进行重启和关机操作,具体报错截图

    孙杰
  • pythonnet-网络编程(1)

    python的网络编程有不少难点,也容易忘记,最近我会陆续发出系统、完整pythonnet知识的博客,一边复习一边分享,感兴趣的可以关注我。

    py3study
  • Scrapy 爬虫 --- 创建

    想来能学习 Scrapy 肯定 Python 环境是安装好的,所以就可以直接使用命令

    andrew_a
  • 如何轻松了解深度学习模型中使用了混合精度?

    混合精度在计算方法中结合了不同的数值精度。NVIDIA Volta架构和Turing架构的GPU引入了TensorCore,它在单精度数学管道上提供了显著的吞吐...

    GPUS Lady
  • 进程间通信的历史与未来

    - START - 我们都知道线程是共享内存空间的,因此不会发生所谓的通信,而进程则存在如何防止多进程同时访问数据的排他控制问题。 5 种进程间通信的方式 ? ...

    临书
  • 8b/10b编码技术系列(二):Disparity、RD、8b/10b编码

    和大家分享一下关于8b/10b编码的知识点,如有什么错误之处或大家有什么额外的见解欢迎大家公众号后台留言!

    根究FPGA
  • selec/poll中的读写事件和epoll中的读写事件

    在Linux网络编程中,常常使用select和poll来做事件触发,监听socket的读写状态,然后进行读写操作。现在新的linux内核中,增加了epoll事件...

    李海彬

扫码关注云+社区

领取腾讯云代金券