0678-26095983
当前位置:主页»关于开云手机app»市政环卫»

借助谷歌搜索流传:对宙斯熊猫银行木马新变种的技术分析

文章出处:开云手机app 人气:发表时间:2023-12-09 04:15
本文摘要:译者:eridanus96预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿通过搜索引擎效果攻击现在,人们都市使用谷歌等搜索引擎,来查找自己不知道的信息。通过搜索,我们能迅速找到所需要的内容。然而,谷歌搜索所返回的链接,并不能保证是一定宁静的。

开云手机app

译者:eridanus96预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿通过搜索引擎效果攻击现在,人们都市使用谷歌等搜索引擎,来查找自己不知道的信息。通过搜索,我们能迅速找到所需要的内容。然而,谷歌搜索所返回的链接,并不能保证是一定宁静的。

正因如此,攻击者借助于搜索引擎优化(SEO),使他们的恶意链接在搜索效果中更多地泛起,从而让他们的目的用户群体熏染宙斯熊猫银行木马(the Zeus Panda banking Trojan)。使特定银行相关关键词的搜索效果发生变更,是一种奇特的攻击方式,可以有效地针对特定用户实现攻击,就像是在井里投毒。

攻击者主要对财政相关的关键字举行搜索,确保搜索效果能显示恶意链接,以最大限度地提高其病毒熏染的转化率。因为他们确定,受熏染的用户将会定期使用各种金融平台,攻击者就可以快速地获取到用户凭据、银行卡信息和信用卡信息等内容。

通过对用于流传这一病毒的基础结构举行分析,我们发现其整体设置和操作历程很是特殊,其不依赖于常见的恶意软件扩散方式。攻击者不会一味沿用已有的技术,而是会定期革新。由此也可以说明,实时更新威胁情报,对于确保组织能随时抵御新的威胁,是至关重要的。

初始攻击向量电子邮件并不是这一病毒最初的感染源。攻击者针对的是特定的搜索关键词荟萃,这些关键词可能会被潜在目的使用Google等搜索引擎查询到。通过使用存在毛病的Web服务器,攻击者能确保他们的恶意效果在搜索引擎中获得较高排名,从而增加了潜在受害者点击的可能性。

举例来说,攻击者似乎以下列关键词作为目的:在大多数情况下,攻击者能够在搜索引擎效果页面(SERP)的首页上显示多条带有病毒的效果,以便将其作为目的。在这个例子中,关键词为“Rajhi银行在斋月的事情时间”,下面是Google搜索返回的内容:通过对已有评级的商业网站举行攻击,攻击者可以使搜索效果看起来更宁静,好比在SERP中的效果中显示5星和100%的评级。攻击者针对的是大量关键词组合,其中大多数是针对潜在受害者可能搜索的银行或金融相关信息而量身定做的。

而且,也会集中对某个地理区域发动攻击,该病毒会以印度和中东的金融机构为主要目的。其他的一些关键字还例如:此外,所有恶意页面的标题都有附加的短语。使用“intitle:”搜索参数,我们就能够主动识别出数以百计的恶意页面,这些恶意页面会引导用户下载病毒。

下面列出了这些附加短语的一些示例:如果用户试图浏览这些受攻击的服务器上的网页,将会开始多级的恶意软件熏染历程,我们接下来将详细分析。比力讥笑的是,在研究历程中我们还发现,存在相同的重定向系统及相关基础设施,用来指导受熏染的用户联系冒充的技术支持。通过显示图像,通知用户系统熏染了宙斯病毒,并指导他们联系指定电话号码。

熏染历程分析当受害者会见恶意网页时,该网站使用Javascript将客户端重定向到中间站点上托管的Javascript。这将导致客户端检索和执行位于被document.write()方法所指定地址的Javascript。随后的页面包罗类似的功效,是将一个HTTP GET请求转向到另一个页面。

随后,中间服务器将返回HTTP 302对客户端举行相应,将客户端重定向到另一个被攻击的站点,这个站点实际上是用来生存恶意Word文档的。因此,客户端会通过这次重定向,下载恶意文档。

这是一种通常被称为“302缓冲”的技术,在开发工具包中广泛使用。根据重定向效果,下载恶意Microsoft Word文档。下载恶意的Word文档后,受害者的浏览器会询问“打开或生存该文件”。

如果选择打开文件,打开后文档将显示以下消息,提示受害者“启用编辑模式”并点击“启用内容”。一旦选择了“启用内容”,就会执行Word文档中嵌入的恶意宏。

正是这些宏,卖力下载和执行PE32的可执行文件,从而熏染了系统。宏代码自己不具有危害性,而且十分简朴,它只是卖力下载恶意可执行文件,将其生存到系统的%TEMP%目录中,而且使用类似于“obodok.exe”的文件名。

在这个样本中,恶意可执行文件位于以下URL中:hXXp://settleware[.]com/blog/wp-content/themes/inove/templates/html/krang.wwt这些宏使用以下 Powershell 下令启动此历程:凭据对病毒所在恶意域名DNS相关信息的检察,我们发现在2017年6月7日至8日期间,试图剖析域名的DNS请求数量有两个显着的峰值。Settleware Secure Services, Inc.是一个文档电子签名服务, 允许以电子方式签署文档。它可以跨多个差别的历程使用,包罗不动产代管电子签名,此外也提供eNotary服务。

木马原理分析与该熏染模式相关的病毒,是一个新版本的宙斯熊猫银行木马,该木马用于窃取银行及其他敏感凭据。我们认为,其有效载荷是分为多阶段的。

开云手机app

初始阶段的有效载荷,具有反分析技术,可以有效逃避检测。除此之外,它还具有几个规避技术,用于确保恶意软件在自动化分析情况及沙盒中不会正常执行。我们特别关注该木马的伪装手段。木马将首先查询系统的键盘映射, 以确定系统上使用的语言。

如果检测到下列任何键盘映射, 它将终止执行:LANG_RUSSIANLANG_BELARUSIANLANG_KAZAKLANG_UKRAINIAN木马还执行检查,以确定它是否在以下治理法式或沙盒情况中运行:VMwareVirtualPCVirtualBoxParallelsSandboxieWineSoftIce它还检查了宁静人员在分析恶意软件时经常运行的种种工具和实用法式是否存在,其完整列表如下:如果满足上述的任何一条,该木马首先会将一个自我删除的批处置惩罚文件写入%TEMP%目录,并使用Windows下令提示符执行该操作。木马使用RDTSC,基于时间发生用于存储批处置惩罚文件的文件名。这个批处置惩罚文件卖力删除原始样本。

一旦完成原始样本的删除事情,它就会从%TEMP%中删除其自身。为阻止分析,其在初始阶段将使用无效参数,去挪用数以百计的有效API。它还会使用结构化异常处置惩罚(SEH)来修补其自身的代码。它会多次查询和存储当前指针位置,以检测运动,并确定自身是否在沙盒或自动分析情况下执行。

下面是使用无效参数的有效API挪用的示例,其中获取指针位置的挪用是有效的,而对ScreentoClient的挪用则包罗无效参数。下面是一个虚假挪用的例子,用来疑惑分析人员,增加分析该木马所需的时间和精神。我们经常看到用来疑惑反汇编器的无效操作,但在这里,由于它位于上百个结构之前,使得更难去识别有效的变量。下面的截图展示了通过IDA自动填充和无用结构的列表。

这些措施都是为了加大分析的难度,让分析人员无法从代码执行流的角度,分析出其真正意图。每隔一段,我们能找到一个有效的和有用的操作。

下面的EAX寄存器存储在一个变量中,以便之后再次使用,用来分配堆内存块,并启动它自己的解压缩代码。该木马还是用了其它技术,使分析变得越发难题,好比建立了上百个条件比力,这使得跟踪代码越发难题。在下面的例子中,几个if条件语句的伪代码演示了这一历程,并说明晰它是如何阻碍对代码的跟踪。

为相识密恶意代码,它安装了一个异常处置惩罚法式,卖力解密一些内存字节,以继续执行。下面是SEH刚刚被初始化:在同一个例程中,它会执行以下代码的解密例程。我们还发现,大量的异常挪用会导致一些沙盒瓦解,这也是防止自动化分析的一种手段。一旦将数据解密并存储到以前分配的缓冲区中,它将使用已知机制(EnumDisplayMonitor的回调例程功效)在winmain中继续执行,方法是将回调例程的值设置为修复的内存。

在此执行历程中,恶意软件将继续修补自身并继续执行。字符串使用XOR值举行加密,可是每个字符串都使用单独的XOR值来防止简朴的检测机制。下面是一些可以用来解密字符串的IDA Python代码。

这段代码对应IDA字符串的解密及引用,0x1250EBD2对应解密例程,0x1251A560对应加密的字符串表。通过下面这些注释,我们可以明白该木马中的差别功效。对于API挪用,它使用如下算法。这段代码可以在IDA中使用,以便对API挪用举行注释。

该木马使用的通用函数,涉及以下参数:与模块对应的 DWORD 值;对应于模块的加密字符串表的索引项(如果未加载);API自己的哈希值;用于存储API挪用地址的索引。下面是一个伪代码示例,它展示了如何执行API挪用。仅仅是使用快照列表,查找内存中的历程。

一旦木马开始完全执行,它就会将一个可执行文件复制到以下位置:C:Users<Username>AppDataRoamingMacromediaFlash Playermacromedia.comsupportflashplayersys它还会通过建立以下注册表项来保证持久性:1HKEY_USERS<SID>SoftwareMicrosoftWindowsCurrentVersionRunextensions.exe它将此注册表项的数据值设置为由木马建立的路径/文件名。下面是数据值的一个示例:1"C:Users<Username>AppDataRoamingMacromediaFlash Playermacromedia.comsupportflashplayersysextensions.exe"s\0在特殊情况下,建立的文件被命名为“extensions.exe”,可是我们已经发现其还会使用其他几个差别的文件名。

针对宙斯熊猫银行木马,如果日后有其他分析,将会在这里增补公布:https://cyberwtf.files.wordpress.com/2017/07/panda-whitepaper.pdf总结攻击者不停实验寻找新的方法来引诱用户运行病毒,这些病毒则可以熏染受害者的盘算机。通常来说,病毒邮件、诱骗点击和水坑攻击是较为常见的攻击方式。

然而这一次,我们发现了另一个完整的攻击框架,通过“SERP投毒”使用户误点击特定网站,并熏染宙斯木马。在这种情况下,攻击者必须确保其恶意链接在搜索引擎中排名较为靠上。

随着威胁的格式不停演变,攻击者不停在寻找新的攻击前言。因此,如果具备一个健全的、分层的纵深防御计谋,将有助于确保组织能够响应不停变化的威胁情况。

需要提醒用户的是,必须时刻保持警惕,在点击链接前三思而行,不能对邮件附件或是搜索引擎的搜索效果发生盲目信任。病毒相关域名、IP及样本Hash恶意文档域名:mikemuder[.]com恶意文档IP:67.195.61[.]46相关恶意域名:acountaxrioja[.]esalpha[.]gtpo-cms[.]co[.]ukarte-corp[.]jpbellasweetboutique[.]combilling[.]logohelp[.]combirsan[.]com[.]trbitumast[.]combleed101[.]comblindspotgallery[.]co[.]ukblog[.]mitrampolin[.]comcalthacompany[.]comcannonvalley[.]co[.]zacoinsdealer[.]plcorvettescruisingalveston[.]comcraigchristian[.]comdentopia[.]com[.]trdgbeauty[.]netdressfortheday[.]comevoluzionhealth[.]comgemasach[.]comjapan-recruit[.]netjaegar[.]jpmichaelleeclayton[.]comwww[.]academiaarena[.]comwww[.]bethyen[.]comwww[.]bioinbox[.]rowww[.]distinctivecarpet.comwww[.]helgaleitner[.]atwww[.]gullsmedofstad[.]nousedtextilemachinerylive[.]comgaragecodes[.]comastrodestino[.]com[.]br中间重定向域名:dverioptomtut[.]ruWord文档文件名:nordea-sweden-bank-account-number.docal-rajhi-bank-working-hours-during-ramadan.dochow-many-digits-in-karur-vysya-bank-account-number.docfree-online-books-for-bank-clerk-exam.dochow-to-cancel-a-cheque-commonwealth-bank.docsalary-slip-format-in-excel-with-formula-free-download.docbank-of-baroda-account-balance-check.docbank-guarantee-format-mt760.docincoming-wire-transfer-td-bank.docfree-online-books-for-bank-clerk-exam.docsbi-bank-recurring-deposit-form.docWord文档Hash值:713190f0433ae9180aea272957d80b2b408ef479d2d022f0c561297dafcfaec2 (SHA256)PE32 URL:settleware[.]com/blog/wp-content/themes/inove/templates/html/krang.wwtPE32 Hash值:59b11483cb6ac4ea298d9caecf54c4168ef637f2f3d8c893941c8bea77c67868 (SHA256)5f4c8191caea525a6fe2dddce21e24157f8c131f0ec310995098701f24fa6867 (SHA256)29f1b6b996f13455d77b4657499daee2f70058dc29e18fa4832ad8401865301a (SHA256)0b4d6e2f00880a9e0235535bdda7220ca638190b06edd6b2b1cba05eb3ac6a92 (SHA256)C2域名:hppavag0ab9raaz[.]clubhavagab9raaz[.]clubC2 IP:82.146.59[.]228。


本文关键词:借助,谷歌,搜索,开云手机app,流传,对,宙斯,熊猫,银行,木

本文来源:开云手机app-www.juovimro.com

同类文章排行

最新资讯文章

Copyright © 2002-2023 www.juovimro.com. 开云手机app科技 版权所有  http://www.juovimro.com  XML地图  开云app(中国)官方网站IOS/安卓通用版/手机APP下载