欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

TrickBot银行金融木马病毒Web Injects探讨及研究专题

来源:本站整理 作者:佚名 时间:2017-09-25 TAG: 我要投稿

今朝,网上曾经有许多对于TrickBot(该恶意病毒木马软件一度被认为是Dyre银行恶意病毒木马软件的继承者)木马的阐发报告。然则,很少有文章对用于诱骗其受益者的木马焦点组件web injects停止阐发,是以在本文中我将深刻对web injects停止研究和阐发。
Web injects
Web injects平日是一段HTML或许javascript代码,这些代码平日被注入到阅读器关上的网页(主如果银行网站)中,容许木马变动或调换网页中的内容或许在网页中表现别的字段。 网络入侵攻击者应用Web injects盗取用户在网页上输出的登录凭证,或许向用户发送诱骗别的凭证的哀求(非银行发送的哀求),比方pin码等。是以,Web injects(也称为发生在阅读器中的入侵攻击)是一种“高超”的技巧手腕,网络入侵攻击者可以或许应用该技巧实行社会工程入侵攻击或许或主动转变受益者停止的泉币生意业务。
与Dyre木马软件应用的Web injects范例同样,TrickBot应用两种范例的Web injects:“web捏造”和“服务器端注入”。TrickBot将其Web injects界说并存储在相似XML的树布局中,设置装备摆设列表中的每一项界说了目的(银行)网站,web inject范例和托管web inject服务器的IP地点。图1所示的是一个设置装备摆设列表,该设置装备摆设列表是在TrickBot过程的内存中找到的。在本文的别的部门中,我将对TrickBot应用的这两种Web injects范例停止论述。对付每一个Web injects范例,我还将论述银行可以或许在服务器端用来检测TrickBot的进攻步伐。

图1:TrickBot设置装备摆设列表
Web捏造
TrickBot的web捏造是一种网络注入技巧,该技巧在受益者阅读银行网站时,会将受益者重定向到恶意病毒木马的服务器。经由过程捏造银行网站的登录页面,恶意病毒木马网站服务器有用地将受沾染的用户从银行的正版网站诱骗到捏造的恶意病毒木马网站中来。在TrickBot的Web injects设置装备摆设列表(如图1所示)中,Web捏造应用sinj标签界说。当受益者登录到捏造的银行网站时,他平日会看到一个“please wait”新闻,一旦用户在登录框中输出登录凭证,那末凭证数据便会被发送给入侵攻击者(如图2所示)。

图2:捏造银行登录网页
捏造的服务器在发送登录凭证的时刻会在入侵攻击者端触发警报,容许网络入侵攻击者应用盗取到的登录凭证在实在银行的登录页面上登入受益者的银行账户。当受益者还在捏造的服务器上耐烦期待时,入侵攻击者曾经开端在检查受益者的银行帐户和生意业务限定信息。在这一点上,非常漫长的期待光阴可以或许是受益者用来断定能否被入侵攻击的目标。因为阅读器的URL地点栏仍包含正当银行网站的域名,是以重定向到捏造的银行网站不会给用户留下任何别的视觉陈迹,纵然受益者会反省URL地点栏中的SSL证书,他也只会看到实在银行网站的证书。
当入侵攻击者盼望将资金从受益人的银行账户转出时,他们平日在银行业务会话中面对额定的网安成绩。经由过程一个控制面板,讹诈者可以或许与他们的受益者停止交互,而此时的受益者仍旧只看到一个“please wait”新闻。在入侵攻击者的操纵下,“please wait”新闻页面会被别的的捏造页面调换,这些捏造页面用于盗取入侵攻击者履行电子诱骗所需的信息。这些捏造的哀求页面是入侵攻击者经心结构的,以用来引诱受益者答复他们,这些谜底平日包含署名令牌,是入侵攻击者供给诱骗受益者帐户所需的末了一条信息。
检测Web捏造
Web捏造平日也被称为重定向入侵攻击,因为与正当银行服务器的独一衔接是由木马自己停止的衔接(受益者提议的衔接被重定向到了恶意病毒木马服务器),是以该范例的网络入侵攻击很难从银行的服务器端停止检测。一般地,受益者阅读银行网站时与正当银行服务器树立的衔接平日在阅读器的URL地点栏中会表现“网安衔接”的图标,并表现正当银行网站的SSL证书。 TrickBot在其重定向入侵攻击中天生的初始SSL衔接或允许以或许在银行网站的服务器日记中检测到。当客户阅读网上银行平台时,阅读器中会加载一个迎接或登录流派页面,并包含该网页上的一切资本信息(比方image,内部scripts等等)。对这些资本的每一个哀求都邑在服务器日记记载中天生一个条款。然则,TrickBot的SSL衔接彷佛并无加载一切这些资本。这类缺乏资本的非常加载征象可以或许是一个很好的特性以用来检测TrickBot。
服务器端注入
TrickBot的服务器端注入是一种网络注入技巧,它将额定的客户端代码(比方HTML,JavaScript)拔出或许注入到目的网页中。在TrickBot的Web injects设置装备摆设列表(如图1所示)中,服务器端注入应用dinj标签界说。当受益者阅读到目的网站(即银行网站)时,该银行服务器的相应在发送给用户以前被TrickBot拦阻(如图3所示),而后银行的相应将发送到入侵攻击者的服务器上(如图4所示)。入侵攻击者的服务器将在网页中注入额定的代码(服务器端注入),并将注入后的成果发送给受益者。

图3:服务器端注入过程

图4:入侵攻击者服务器获得到银行发来的相应
起首,将全部页面发送到入侵攻击者服务器(只是为了恶意病毒木马服务器可以或许将其恶意病毒木马代码注入到失常的相应中)的这类战略可以或许会招致许多不用要的开支。这与别的较老的银行木马(如Zeus和SpyEye)应用的客户端Web injects战略分歧,客户端Web injects可以或许有用削减入侵攻击者服务器所需的带宽和处置才能。较旧的银行特洛伊木马平日将注入代码作为其设置装备摆设的一部门,应用data_before/data_ends标签和data_inject标签来界说。但客户端注入的毛病是,网安研究职员可以或许很容易经由过程剖析接收到的设置装备摆设来断定目的网站能否被注入了恶意病毒木马代码。是以,服务器端注入是一种较为“聪慧”的伎俩,应用该办法可以或许尽可以或许的暗藏其设置装备摆设计划,以免遭网安专业职员的阐发。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载