欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

孟加拉央行SWIFT攻击事件恶意木马分析

来源:本站整理 作者:童年的夏天 时间:2016-06-03 TAG: 我要投稿

前言:刚拿到这个样本,然后花了些时间看了看,弄了个报告交差了。很多的细节分析纯是猜测,因为我对SWIFT具体业务逻辑也不了解。当参考吧。

第一章 分析概述

   该恶意木马样本为运行于winodws平台上的PE文件(名称:evtdiag.exe)。文件大小为64KB,编译时间是2016年2月5日。

   经分析,该样本为定制的攻击SWIFT客户端程序的恶意木马程序,未做加壳和代码混淆处理,主要功能是与本地的SWIFT客户端软件Alliance交互。该木马以windows服务形式运行,通过遍历读取SWIFT客户端软件Alliance安装目录下的配置文件和交易记录文件,从而获取Alliance的重要授权等配置文件。通过监控Alliance软件的收发报文并打印日志导出文件,攻击者通过监控日志分析学习Alliance软件的操作流程。该木马可以查询并修改Oracle数据库中的数据,完成相关账户信息的篡改,以便让程序完成伪造的转账请求。该恶意木马还通过一系列技术手段完成痕迹的消除,比如在获取Oracle操作结果时关闭数据校验和反馈、修改Oracle连接进程中内存数据绕过Oracle数据校验,并在最后删除数据库中获取的账户相关数据信息。

   可以看出,攻击者完全获取了SWIFT客户端主机的控制权限,所以通过打印日志记录各种命令执行结果并深入分析。木马程序编写者具有专业的金融知识背景,完全熟悉SWIFT Alliance的操作流程,深入了解该软件的工作原理,甚至是数据库表结构和文件网络等各类信息格式,另外还做了很多反侦查的技术操作。

1.1 分析环境和方法

本次分析基于PE样本(名称:evtdiag.exe)进行,分析环境为WinXP,静态代码分析工具为IDA,动态调试工具为Ollydbg。

第二章 样本分析过程

2.1 启动方式分析

该恶意木马在启动时接收不同的启动参数,从而实现不同的功能。所接收参数有-P、-g、-svc、resume、pause、on、off、queue等。如图2-1所示。其中on、pause、resume、off、queue都是对日志记录功能的操作,-svc参数则是将木马以windows服务方式启动。

 

图2-1 启动参数分析

如图2-2所示,-svc参数则将木马程序以windows服务方式启动。该操作调用StartServiceCtrlDispatcherA函数完成,所运行的服务的名字为evtsys.exe,并且在服务启动之后才进行后续的操作。

 

图2-2 以windows服务方式启动

2.2 枚举Oracle连接进程,修改内存数据

该恶意木马运行中,通过枚举系统中的进程,查找加载了Oracle连接库liboradb.dll的进程,该进程是SWIFT客户端软件Alliance与Oracle数据库进行交互所依赖的。如下图2-3所示。

 

图2-3 枚举加载了liboradb.dll模块的进程

    如图2-4所示,木马文件找到加载了liboradb.dll模块的进程文件后,通过修改内存的方式,对模块中的关键数据进行篡改。结合后续的一些运行行为初步推断,是对模块中的数据校验功能进行篡改,防止在修改账目过程中报错。

图2-4 修改Oracle连接进程中的内存数据

2.3 开启日志打印功能并进入关键处理函数

恶意木马开启日志打印功能sub_409460,便于记录每一步操作中的数据结果,如图2-5所示。同时进入关键信息窃取逻辑sub_409AF0。

 

图2-5 开启日志打印记录功能

如下图2-6便进入关键窃取信息的处理逻辑sub_409AF0,前面提到,当木马以服务方式启动时,便会执行该功能。

 

图2-6 sub_409AF0函数处理逻辑

 

图2-7 服务方式启动后即开始窃取信息

2.4 遍历SWIFT客户端软件Alliance目录文件

     该恶意木马接着遍历swift客户端软件Alliance的安装目录,拼接不同的目录路径,读取Alliance目录文件,如下图2-8所示。

 

图2-8 读取swift客户端软件alliance的目录文件

其中,推断gpca.dat文件可能为alliance软件关键的配置文件,可能保存了用户转账过程中的信息,并进行了加密。该木马代码获取到该文件后进行了有效的破解。破解算法如下图2-9所示。

 

图2-9 可能的pgca.cat文件内容的解密算法

如果该木马程序未读取到gpca.dat时,会通过打印日志来记录。如下图2-10所示的CFG FAIL记录。由此来推断,gpca.cat是配置文件。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载