欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

ATMDtrack:六年前攻击首尔的恶意软件,这次瞄准了印度银行业

来源:本站整理 作者:佚名 时间:2019-10-06 TAG: 我要投稿

2018年,卡巴斯基研究人员发现了一种针对印度的银行恶意软件——ATMDtrack,其功能是植入ATM后读取和存储银行卡中的数据,进一步研究后,卡巴斯基发现了ATMDtrack的180个新样本,并将其统称为Dtrack。
早期发现的所有Dtrack样本都是已经植入的样本,因为实际Payload是用各种dropper加密的,而ATMDtrack和Dtrack内存转储共享的唯一序列,是发现这些样本的关键线索。在解密并了解最终的payload后,我们发现它与DarkSeoul行动(2013年朝鲜战争纪念日时,对韩国网络的攻击行动)存在一些相似之处,该行动可归因于朝鲜黑客团伙Lazarus组织。那么看来,Lazarus组织重新使用了了部分旧代码来攻击印度的金融部门。检测到的DTrack最近一次活动是在2019年9月初。
技术细节
Dropper将加密payload作为overlay(附加数据)嵌入到PE文件中,视作在正常执行步骤中永远不会使用的额外数据。它的解密例程是可执行物理补丁的一部分,从start()和WinMain()函数之间的某个位置开始。值得注意的是,创作者将恶意代码嵌入到一个非恶意可执行二进制文件中,默认是Visual Studio MFC项目,在某些情况下也可以是任何其他程序。
解密的overlay数据包含以下内容:
· 另外一个可执行文件;
· process hollowing shellcode;
· 预定义的可执行文件名称列表,恶意软件将其用作未来进程名称。
数据解密后,process hollowing代码运行,将要挖空的进程名称作为变元,名称来自上述的预定义列表。所有名称都来自%SYSTEM32%文件夹,如下所示:
· fontview.exe
· dwwin.exe
· wextract.exe
· runonce.exe
· grpconv.exe
· msiexec.exe
· rasautou.exe
· rasphone.exe
· extrac32.exe
· mobsync.exe
· verclsid.exe
· ctfmon.exe
· charmap.exe
· write.exe
· sethc.exe
· control.exe
· presentationhost.exe
· napstat.exe
· systray.exe
· mstsc.exe
· cleanmgr.exe
Dropper
执行后,process hollowing的目标将被挂起,直到其内存被解密的可执行payload覆盖后才会恢复。
Dropper包含各种可执行文件,都是用来监视受害者的。以下是找到的各种Dtrack payload可执行文件的功能列表(尚不完整):
· 键盘记录,
· 检索浏览器历史记录,
· 收集主机IP地址、可用网络和活动连接的信息,
· 列出所有正在运行的进程,
· 列出所有可用磁盘卷上的所有文件。
在这一点上,框架的设计理念变得有些模糊。一些可执行程序将收集到的数据加密到归档文件后保存到磁盘上,而另一些程序则直接将数据发送到C&C服务器。
除上述可执行文件外,Dropper还包含一个远程访问木马(RAT)。RAT可执行文件允许犯罪分子在主机上执行各种操作,例如上传/下载、执行文件等。相关操作请参见下表:

Dtrack和ATMDTrack的相似之处
ATMDTrack是DTrack家族的分支,有相似之处,也有所不同。例如,Dtrack的payload是在dropper中加密的,不像ATMDTrack样本那样根本没有加密,但在解密Dtrack payload后可以发现,开发人员明显是同一群人:两组项目风格相同,实现功能也类似。它们最明显的共同点是字符串操作函数——检查参数字符串开头是否有CCS_子字符串,将其删除并返回一个修改后的子字符串,否则使用第一个字节作为XOR参数并返回解密的字符串。

恶意软件共有函数(函数/参数由研究人员命名)
结论
首次发现ATMDtrack时,我们以为这是另一个ATM恶意软件家族,因为常常有新的ATM恶意软件冒出。现在,我们可以在Lazarus组织的武器库中添加另一组家族:ATMDtrack和Dtrack。
而我们发现的大量Dtrack样本表明,就恶意软件开发而言,Lazarus组织是最活跃的APT组织之一,目前仍在持续快速开发恶意软件和扩展运营中。2013年在首尔发现的早期样本六年后又在印度死灰复燃,还袭击了金融机构和研究中心,Lazarus再一次出于经济动机或纯粹的间谍活动而挑起了攻击。
为了成功进行间谍活动,犯罪分子应该至少能够部分控制内部网络,这意味着受攻击组织可能有许多安全问题,例如网络安全政策薄弱、密码设置薄弱、缺乏流量监控等。
因此,我们建议公司需要加强他们的网络和密码政策,以及使用流量监控软件和防病毒解决方案。
 IoCs
8f360227e7ee415ff509c2e443370e56
3a3bad366916aa3198fd1f76f3c29f24
F84de0a584ae7e02fb0ffe679f96db8d
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载