欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

BackSwap银行木马进化分析

来源:本站整理 作者:佚名 时间:2018-12-05 TAG: 我要投稿

本文将介绍BackSwap的进化过程、唯一性、成功性以及失败的地方。文中会介绍恶意软件不同版本和攻击活动的概览。
BackSwap概览
Zbot, Gozi, Dridex, Carberp等都是比较常见的银行木马。多年来,银行木马恶意软件找出高级以及复杂的方式来窃取银行木马和信用卡详情,并滥用这些信息来偷钱。
大多数银行木马会注入代码到受害者的浏览器内存中以达到窃取信息的目的。注入的代码会hook浏览器中的通信以拦截私有的银行数据。拦截的数据之后会发送给攻击者。但这种方法比较复杂和不稳定,因为注入的代码要适应不同的目标浏览器。而且攻击者必须追踪驻留浏览器快速变化的代码,这是一个非常大的挑战。
BackSwap是一个简单但是非常有效的银行木马,将自己隐藏在大量的主流和合法软件之中,比如7-Zip、FileZilla和Notepad++。从表面上看,该程序的可执行文件是非恶意的,但攻击者注入的代码最终会在用户启动前面提到的应用时执行。

BackSwap进化史
过去几个月,研究人员发现了Backswap的上百个样本,并且看到这些样本中出现的很多的变化。通过分析这些数据,研究人员将样本进行分组并分析了恶意软件行为发生的变化。
早期版本
BackSwap的第一批样本是2018年3月中旬出现的。样本中并没有对payload进行混淆,只是插入到原始程序(比如7-Zip、WinGraph和SQLMon)中去。根据恶意软件中的一些字符串,可以推断攻击目标是波兰,每个样本攻击目标是波兰的1到3家银行。最常见的目标银行网站是ipko.pl,24.pl和mbank.pl。
初始版本的另一个特征是对每个目标银行都保持一个加密资源,使用的加密方法就是使用0x9进行一个简单的XOR运算。虽然该加密方法非常弱,但BackSwap一直在使用。Web注入代码含有占位符“xxxxxxxxxxxxxxxxxxxxxxxxxx”,是恶意软件用来保存窃取的银行交易信息的IBAN。当受害者进入目标银行网站并且需要进行交易时,web注入代码就会用前面提到的IBAN替换目标IBAN,这样受害者就会把钱转入攻击者账户中。
2018年4月,更多的银行被加入成为目标,一些样本甚至含有最多6个不同的资源。Web-inject代码的JS实现使用浏览器窗口的标题改善了与PE二进制文件中代码交互的方式。Shellcode会检查浏览器标题文本的变化,并抓取这些信息发送WebInjects。恶意软件PE的后台线程会将窃取的信息保存到计算机的日志文件中,并发送给C2服务器。
4月中,BackSwap开始在目标网站的DOM中创建假的输入对象。这些假的输入域看起来和真的一模一样。但当用户填假的域时,原始域就会隐藏并包含攻击者的IBAN信息。同时,恶意软件使用新的注入技术将恶意JS传递到URL地址栏。
4月底,BackSwap第一次使用XOR key来加密资源,这次使用了0xb。这一变化使BackSwap的一大特性,最近出现的样本中每个都有一个不同的key。但使用的加密方法仍然是简单的XOR。除了XOR key的变化外,恶意软件开发者还将IBAN移到硬编码的web-injects javascript中了。
 

图3: 钱骡的硬编码信息
5月的web-injects中有一个负责复制特定字符串到剪贴板的函数copyStringToClipboard。复制的字符串中含有受害者填写的信息,由恶意软件PE中的线程负责读取和处理。
同月,研究人员发现BackSwap开始追踪受感染的机器数量,这是通过发送HTTP请求到主流的俄罗斯网站yadro.ru来实现的。该方法在从攻击者站点收集受害者位置信息非常有效和简单。而且安全产品很难将其标记为非法的。
BMP中加密的payload
2018年6月,BackSwap开发者引入了一个新的payload编码技术;在该技术中,的PIC是加密的,嵌入到一个BMP图片中,使用了BMP header的唯一性特征。

图4: 嵌入位置无关代码到图片中
BMP文件header是0x42,0x4D对应ASCII码的BM。这对十六进制数字也是有效的x86指令。下面是对这些字节的翻译:
 

BackSwap背后的攻击者就利用了BMP header来使其代码看似是无害的。指令执行后,JMP指令会开始PIC解密。解密路径非常简单,而且很容易分析。
 

第一个BMP图片非常抽象、很难理解,之后的都是基于真实图片的。第一个例子是著名电影Scarface中的一个场景。

最近的版本
2018年7月研究人员没有发现其攻击活动,8月新样本出现,这是恶意软件的一个拐点,因为攻击者利用这1个多月的时间加入了新的特征和功能:
首先,恶意活动转向攻击西班牙银行,彻底放弃了之前的波兰银行。
 

图5: BackSwap攻击的西班牙和波兰银行
其次,BackSwap改变了其保存web-injects的方式。之前对不同的目标银行保存在不同的资源中,现在将这些都融入到一个单一资源中,并用特定的分割关键词将web-inject代码段分隔开。8月份,研究人员共检测到两个分隔器,第一个是“[start:]”,第二个是“[fartu:]”。目标银行网站也不保存在恶意软件的PIC中,而是保存在web-inject代码中。示例如下:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载