欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

金融圈银行服务机构的恶意病毒木马软件运用CDN漏洞bug洪水似的到处传播感染

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿
 

图9:在体系上搜刮银行软件的hasAnyPrograms()函数
getPathfromGuid()和getPathFromGuidWow()函数经由进程HKCR中的CLSID键来履行文件搜刮,假如找不到这些文件,剧本就会搜刮与Bradesco,Itaú,Sicoob和Santander等银行相干的文件夹。

搜刮这些文件旨在防止在可以或许不用于网上银行目标的盘算机上激活黑客恶意功效,假如经由进程hasAnyPrograms()函数找到这些文件中的任何一个,则停止第三次反省以验证衔接能否来自巴西。因为受害者的帐户大多来自于巴西,为了防止非巴西国度停止阐发(重如果主动),该代码段还验证了客户IP能否来自巴西的AS,代码完成如下图所示:
 

图10:验证客户IP地点能否在巴西
此反省经由进程ip-api.com上的API接口函数停止,该API接口在客户衔接到Internet时前往Internet办事供给商供给的公网IP地点。假如countryCode被验证为“BR”,则代码片断胜利经由进程第三个前提的检测(即isBR()),而后履行黑客恶意代码片断。
阶段3:与C&C停止通讯并履行有用载荷。
假如受害者的盘算机满意一切的前提,那末黑客恶意软件开端和C&C办事器树立通讯衔接。
 

图11:JS代码片断的重要履行部门
经由进程上图咱们可以或许看到,在第497行上挪用的dlToText_s()函数接管两个参数:C&C 办事器的URL(在downAndExec中被剖析为
);另一个参数是一个字符串(在downAndExec被剖析为
)。dlToText_s()函数的的第一个参数(即“
/?t”)表现应当从哪一个C&C下来下载黑客恶意软件的有用载荷,而第二个参数“x-id ”字段(值为 
)用于下载黑客恶意软件的其余有用载荷,详细完成如下图所示:
 

图12:用于下载C&C有用载荷的功效完成
在阐发的进程当中,咱们发明t文件只包括“3”这个值。正如咱们可以或许在downAndExec()中看到的那样,黑客恶意软件可以或许应用分歧的t值来表现分歧的操纵行动。
 

图13:t文件的内容
上面咱们总结了黑客恶意软件中t值(用K来表现t的取值)可以或许代表的分歧操纵行动:
1. K =“1”:代码片断加入履行阶段,不履行黑客恶意操纵。
2. K =“3”:代码片断下载三个文件,此中一个只是一个字符串(以DLL定名),别的两个都是PE文件。runAsUser()函数会在履行的进程当中被挪用。
3. K =“4”:与K=“3”相似,但只下载了两个PE文件,而且挪用runAsRundll()函数而不是runAsUser()。
当K=“4”的时刻,PE文件无奈下载,咱们今朝还不清楚在这类情况下会产生甚么,对付K=“3”,下载的文件如下所示:

总结
对有用载荷的阐发事情仍在紧锣密鼓的停止中,在阐发中咱们发明黑客恶意软件会应用DLL预加载技巧(DLL预加载入侵攻击)来将黑客恶意PE法式注入到内存中。正如咱们上述曾经阐发的那样,downAndExec技巧触及两个下载阶段和几个自我掩护步伐,此中包括辨认相符所需配置文件的机械,将片断中无黑客恶意操纵的代码散发到各个受害者机械上,只管这些无黑客恶意操纵代码自己不履行(只是为了绕过在线检测),然则当与其余黑客恶意代码一路存在于受害者的机械上时,它们便可以或许侵害受害者的机械。
今朝,另有一些与downAndExec无关的成绩必要咱们进一步研讨的阐发:
1. 为何要应用内容散发网络托管JS代码片断?
2. JS代码片断中并无应用runAsAdmin()函数,该代码片断能否被用作其余范例的巴西网络犯法或黑客恶意软件的同享模块?
3. 当K=“4”时黑客恶意软件是若何履行的?
咱们将会对上述成绩停止连续的研讨和阐发,并将研讨成果宣布到咱们的博客上,请不要忘怀浏览咱们的博客,以懂得巴西网络犯法分子应用的其余网络入侵攻击伎俩。
IoC

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载