watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

双11购物狂欢虽已过去。但购物热潮却并未退却。而这也带来了每年都会在这段时候出现的网络犯罪活动:

趋势科技已经看到大量伪造的银行电子邮件。也看到其它类型的垃圾邮件威胁,包含KELIHOS,VAWTRACK,甚至某些形式的419骗局。

趋势科技也目睹了银行恶意软件的添加。这个恶意软件家族变种试图窃取敏感信息,如银行认证信息和电子邮件账号具体数据。它们会利用信息窃取技术,一般会伪造跟银行站点一模一样的钓鱼网页,用来窃取用户的银行信息,如username称、password或卡号。再将窃来的信息发送到一个预先设定的电子邮件地址,代管server的暂存区或通过HTTP POST发送到一个网址去。

这一系列的文章着重于一个特定银行恶意软件。被侦測为TSPY_BANKER.DYR。在深入了解恶意软件本身后,我们会将这恶意软件威胁放入整个生态系,加上其连接的垃圾邮件。甚至包裹骡子诈骗(指将包裹寄送到别的地方的人,就跟“驴子”一样)。

这些人非常easy落入骗局。由于打着“easy致富”的名号。

关于DYR的一切

这被侦測的恶意软件跟DYRE(也被称为DYREZA,DYRANGES或BATTDIL)有关。

TSPY_BANKER.DYR跟DYRE变种有很多相似之处,能够从其行为看出:

1、能够通过浏览器注入来进行中间人攻击。此外也能够进行浏览器截图,窃取个人认证信息,并窃取如浏览器版本号等信息。

2、它窃取银行认证信息和监视对特定银行进行在线交易时的联机。

3、它会植入一个配置文件(通过C&C更新),里面包括了目标银行列表和bot ID(由计算机名称、操作系统版本号和一组32个字符标识符所组成),目标银行包括了国际、美国和欧洲银行。

4、它利用NAT会话传输应用程序(STUN)。一种位在NAT网络内之终端主机找出其公开IP地址的方法。它常被实时语音、视频通话和其它信息服务应用程序用来找出公开IP地址或是可被因特网所见的IP地址。

犯罪分子使用这样的方法来知道其恶意软件的确切位置(并可能知道谁试着去加以运行)。

(图1:STUN的截图)

5、它还能够下载一个VNC模块。

看看其网络行为来确认上面所描写叙述的细节:使用默认好的字符串格式来连到C&Cserver的443port。连接STUNserver;接受对内联机。

尽管没有出如今以下的截图,其所使用的用户代理版本号是Opera/9.80。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

(图2:TSPY_BANKER.DYR的网络行为)

进入点

我们如今知道这个恶意软件会做什么。但它怎样进入和感染系统呢?

看看C&Cserver联机(port443)。这个port是HTTPS,意思是网络交易中涉及证书。从窃取的封包中取出证书后。我们能够拿到两个证书。

第一个证书自称来自Google,跟真正的Google证书相比較,你能够看出两者间的差异。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

(图3:假的 Google证书)

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

(图4:真的Google证书)

同一时候,第二个证书包括一个特定值。这事实上是用OpenSSL做出自签证证书时的默认输入数据。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

(图5:第二个可疑证书)

(图6:默认数据输入)

在SSL和HTTPS的设计中。一个可信任站点的特点之中的一个是须要有经过可信任认证机构(CA)认证的证书。使用(或反复使用)上面所显示的同样证书清楚地指出站点本身不值得信赖。

类似的嫌疑犯

我们决定交叉比对反复使用这些证书和会存取同样性质恶意软件的其它站点,并找到了两个被我们侦測为TSPY_ZBOT.WCDA和TROJ_UPATRE.WCDA的档案。接着我们检查了它们和我们原本的恶意软件(TSPY_BANKER.DYR)是否有共同之处,看看这两个档案的网络活动。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

(图7:感染TSPY_ZBOT.WCDA系统的网络活动)

我们也检查HTTP标头来看看还有什么问题。找到了对C&Cserver的HTTP GET请求。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

(图8:HTTP GET请求)

上述的网络活动有些惊人的相似之处,即:

1、DYR会连到STUNserver。和TSPY_ZBOT.WCDA一样。

2、DYR和TROJ_UPATRE.WCDA有着相似的联机,有恶意软件名称/版本号在HTTP/S请求中,还有其它相关网址字符串;

3、两者都会试着在对外通信时使用假的用户代理字符串;

4、反复使用伪HTTP/S证书;

垃圾邮件联机

感染后的行为并非TSPY_BANKER.DYR和TSPY_ZBOT.WCDA及TROJ_UPATRE.WCDA之间唯一的相似之处。它们也用同样的方法抵达。我们交叉比对同样时段内的此类恶意软件活动,找到这封垃圾电子邮件。

(图9:垃圾电子邮件样本)

这封电子邮件假装来自苏格兰皇家银行(RBS),分析后显示下面事项:

1、它用zip作为附件文件,解开后出现带有PDF图示,称为RBS_Account_Documents.scr的档案。此档案被侦測为TROJ_UPATRE.WCDA。

2、接着被植入的档案是exe,被我们侦測为TSPY_ZBOT.WCDA。

3、其实,HTTP GET请求 /ProfilePics/0809uk1.zip(如图 8所看到的)能够被解读为:

0809 ——可能是9月8日,我们看到全部的这些恶意软件和垃圾邮件的日期。

UK ——可能是指英国,RBS总部的大概位置。

感染系统是DYR恶意软件的最后一步了吗?并非。

除了窃取银行认证信息,DYR恶意软件还涉及还有一种威胁——包裹骡子诈骗。相关细节将在以后的文章中继续讨论,敬请期待。

网络银行木马DYRE知多少(1)的更多相关文章

  1. Atitit. Xss 漏洞的原理and应用xss木马

    Atitit. Xss 漏洞的原理and应用xss木马 1. XSS漏洞1 2. XSS的用途2 2.1. 盗取cookie2 2.2. 刷新流量 刷分3 2.3. DOS 窃取隐私”.“假冒身份”. ...

  2. windows系统常见端口和木马默认使用端口

    dos命令netstat比较好用,能比较全的看到自己开放的端口及状态一般我用netstat -a端口:0服务:Reserved说明:通常用于分析操作系统.这一方法能够工作是因为在一些系统中“0”是无效 ...

  3. TCP常用网络和木马使用端口对照表,常用和不常用端口一览表

    [开始-运行- CMD , 输入 netstat -an 然后回车就可以查看端口] 端口: 服务:Reserved 说明:通常用于分析操作系统.这一方法能够工作是因为在一些系统中“”是无效端口,当你试 ...

  4. vue—你必须知道的 js数据类型 前端学习 CSS 居中 事件委托和this 让js调试更简单—console AMD && CMD 模式识别课程笔记(一) web攻击 web安全之XSS JSONP && CORS css 定位 react小结

    vue—你必须知道的   目录 更多总结 猛戳这里 属性与方法 语法 计算属性 特殊属性 vue 样式绑定 vue事件处理器 表单控件绑定 父子组件通信 过渡效果 vue经验总结 javascript ...

  5. rootkit——一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,一般都和木马、后门等其他恶意程序结合使用

    Rootkit是指其主要功能为隐藏其他程式进程的软件,可能是一个或一个以上的软件组合:广义而言,Rootkit也可视为一项技术.   目录 1 rootkit是什么 2 rootkit的功能 root ...

  6. metasploit、msfvenom生成木马入侵电脑及手机

    简介 msfvenom msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and ...

  7. Linux下手动查杀木马

    (1).模拟木马程序病原体并让其自动运行 黑客让脚本自动执行的3种方法:1.计划任务:2.开机启动:3.系统命令被人替换,定一个触发事件. 1)生成木马程序病原体 [root@youxi1 ~]# v ...

  8. 为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比

    在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗? 一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的. 真是的这样吗? 我今天无意抓到 ...

  9. 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析

    前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...

随机推荐

  1. python配置文件编写

    from configparser import ConfigParser # 配置类,专门来读取配置文件# 配置文件结尾:.ini .conf .config .properties .xml# 配 ...

  2. 灾备还原之gitlab

    灾备还原之gitlab 备份情景:服务器A架设了gitlab,定期通过duplicity发送加密备份给B服务器,现在由于某种情况生产机器A完全无法访问(主机商跑路?硬盘冒烟?服务器BOOM了?),本地 ...

  3. android 二维码 扫描,生成,竖屏

    最近公司有用到二维码,生成,扫描,所以学习了一下,和大家分享: demo 见下面链接,已经改成竖屏: http://download.csdn.net/detail/q610098308/868101 ...

  4. CSS 样式的优先级(重要,一定要理解)

    1. 同一元素引用了多个样式时,排在后面的样式属性的优先级高 例如,下面的 div,同时引用了 [.default] 和 [.user] 中的样式,其中 [.user] 样式中的 width 属性会替 ...

  5. [ HNOI 2006 ] 公路修建问题

    \(\\\) \(Description\) 一个\(N\)个点\(M\)条边的图,每条边可以选择\(w_i,p_i\)两个边权之一,现求一个生成树上的最大边权最小值,要求这棵生成树上至少有\(K\) ...

  6. CF126B Password

    思路: kmp略作修改. 实现: #include <iostream> #include <cstdio> using namespace std; ; int neXt[M ...

  7. node.js安装步骤

    首先这是node.js的官网:https://nodejs.org/en/ 截至2017年12月9日,node更新在8.9.3该版本,建议开发人员下载6.0以上版本,8以上不是很稳定!  如果有其他需 ...

  8. [Android]异常9-自定义PopupWindow出现闪屏

    背景: 自定义PopupWindow使用时,Android4.0或者一些手机正常使用,Android6.0或者部分手机使用自定义PopupWindow触发事件时,出现闪屏 异常原因: 可能一>A ...

  9. SV creation order

    SystemVerilog Instance Worlds When generating an UVM testbench and in particular the DUT - testbench ...

  10. Tomcat服务器安装与第一个jsp网页程序

    1.安装tomcat服务器之前需要,先安装相应版本的jdk,个人理解Tomcat的大部分功能是使用了java的 jdk jar包的. jdk包下载方式网上可以查到 下载完后可以解压到一个指定目录,并在 ...