揭秘銀行木馬Chthonic:Zeus的最新變種
說到Zeus/Zbot,做安全多多少少都會(huì)有所了解。Zeus是對(duì)金融系統(tǒng)威脅最大的僵尸網(wǎng)絡(luò)之一,控制者借助僵尸程序竊取賬戶登錄信息和信用卡號(hào)碼。Zbot往往通過垃圾郵件來傳播,中招的會(huì)下載一個(gè)程序,這個(gè)程序會(huì)控制網(wǎng)銀,偷取信息。近期卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)了一款ZeuS的最新變種Chthonic。
2014年秋季,卡巴斯基發(fā)現(xiàn)了一款新的銀行木馬,之所以引起了卡巴斯基的注意是因?yàn)椋?/p>
首先,從技術(shù)上來說這款病毒非常有趣,它使用了一種新技術(shù)加載模塊。
其次,通過分析它的配置文件我們發(fā)現(xiàn),這款木馬針對(duì)的是大量在線銀行系統(tǒng):超過150家不同的銀行,還有來自15個(gè)國(guó)家的20個(gè)支付系統(tǒng)。主要針對(duì)來自英國(guó)、西班牙、美國(guó)、俄羅斯、日本和意大利的銀行。
卡巴斯基實(shí)驗(yàn)室將這款新病毒命名為Trojan-Banker.Win32.Chthonic。
雖然經(jīng)過大量修改,我們還是察覺到這款木馬是ZeusVM的變種。Chthonic使用與Andromeda bots相同的加密器,與Zeus AES和Zeus V2木馬相同的加密方案,與ZeusVM和KINS類似的一款虛擬機(jī)。
感染方式
Trojan-Banker.Win32.Chthonic感染主機(jī)有兩種方式:
發(fā)送帶有exploits的電子郵件;
使用Andromeda bot(Backdoor.Win32.Androm)下載到受害者主機(jī)上。
發(fā)送帶有exploits的電子郵件:犯罪分子會(huì)附上一個(gè)“精心制作”的RTF文件,文件會(huì)利用微軟Office產(chǎn)品中的CVE-2014-1761漏洞。文件的使用的是.DOC后綴,為的是看起來不那么可疑。
如果成功的話,受害者的主機(jī)就會(huì)下載一個(gè)downloader木馬。上圖例子中,這個(gè)downloader木馬來自一個(gè)被攻陷的網(wǎng)站 —— hxxp://valtex-guma.com.ua/docs/tasklost.exe。
Andromeda bot則會(huì)從hxxp://globalblinds.org/BATH/lider.exe下載downloader木馬。#p#
下載木馬
一旦downloader被下載,就會(huì)向msiexec.exe注入代碼。似乎這款downloader是基于Andromeda bot的源代碼修改的,雖然兩者采用了不同的通信協(xié)議。
Andromeda和Chthonic downloader的相似之處
Andromeda和Chthonic C&C采用了不同的通信協(xié)議
Chthonic的downloader包含一個(gè)加密的配置文件(KINS和ZeusVM也使用了類似的加密)。配置文件主要包括:一個(gè)C&C服務(wù)器列表,一個(gè)用于RC4加密的16字節(jié)密鑰,UserAgent和僵尸網(wǎng)絡(luò)ID。
解密配置文件后,內(nèi)容即被以以下形式儲(chǔ)存在堆內(nèi)存中:
這個(gè)過程沒有傳遞指針。Andromeda bot會(huì)通過RtlWalkHeap函數(shù)檢查每個(gè)堆元素,將起始的4個(gè)字節(jié)與MAGIC VALUE匹配。
downloader會(huì)收集本地IP,僵尸id,系統(tǒng)信息,語言信息,uptime和其他信息,然后先用XorWithNextByte進(jìn)行加密,再用RC4,接著把信息發(fā)送到配置文件中指定的一個(gè)C&C地址。
發(fā)送信息后,木馬會(huì)收到一個(gè)擴(kuò)展加載器。不是標(biāo)準(zhǔn)的PE文件,而是一系列片段,加載器會(huì)把這些片段映射到內(nèi)存,這些片段包括:可執(zhí)行代碼,重定位表,入口點(diǎn),導(dǎo)出的函數(shù)和引入表。
Andromeda和Chthonic中的import setup片段
頭文件
擴(kuò)展加載器中還包含一個(gè)使用虛擬機(jī)加密的配置文件。它會(huì)加載木馬的主模塊,然后主模塊會(huì)下載其他模塊。擴(kuò)展加載器本身使用AES加密,而其他片段是用UCL打包的。主模塊加載其他模塊,建立引入表的方式與Chthonic downloader很相似。
模塊加載過程見下圖:
#p#
模塊
Trojan-Banker.Win32.Chthonic采用模塊結(jié)構(gòu)。至今為止我們已經(jīng)發(fā)現(xiàn)的模塊:
名稱 描述 是否有64位版本
main 主模塊 (v4.6.15.0 - v4.7.0.0) 是
info 收集系統(tǒng)信息 是
pony 竊取保存的密碼 否
klog Keylogger 是
http Web注入和表單存取 是
vnc 遠(yuǎn)程控制 是
socks 代理服務(wù)器 是
cam_recorder 使用攝像頭錄視頻 是
木馬中有很多函數(shù)通過各種手段竊取在線銀行的用戶名密碼。而VNC和cam_recorder模塊能讓攻擊者遠(yuǎn)程連接感染的電腦并且進(jìn)行交易,還可以用電腦的攝像頭和麥克風(fēng)錄下視頻音頻。
注入
Web注入是Chthonic的主要武器:他們能夠用木馬在瀏覽器打開的網(wǎng)頁代碼中插入自己的代碼和圖片。攻擊者能夠借此獲取受害者的手機(jī)號(hào)碼,一次性密碼和PIN,還有受害者輸入的用戶名和密碼。
例如,當(dāng)用戶訪問日本銀行時(shí),木馬會(huì)隱藏銀行的提示警告,并且插入腳本,使得攻擊者能夠使用受害者的賬號(hào)進(jìn)行轉(zhuǎn)賬:
在線網(wǎng)銀網(wǎng)頁截屏(注入前/注入后)
注入的腳本中的函數(shù)
注入的腳本也會(huì)顯示很多假窗口,以獲取攻擊者想要的信息,如下圖所示,窗口顯示一個(gè)警告,警告用戶賬號(hào)認(rèn)證有問題,提示用戶輸入交易驗(yàn)證碼(TAN,Transaction Authentication Number):
交易驗(yàn)證碼輸入窗口
不過我們的分析發(fā)現(xiàn)針對(duì)俄羅斯銀行的注入有點(diǎn)異常。當(dāng)受害者打開一個(gè)在線銀行網(wǎng)頁時(shí),網(wǎng)頁的整個(gè)頁面都被替換了,而不是像其他銀行一樣只注入一部分。木馬會(huì)創(chuàng)建一個(gè)與原來窗口大小一樣的iframe,覆蓋原網(wǎng)頁。
下圖是注入的代碼的片段,這段代碼會(huì)替換title與body結(jié)束標(biāo)記之間的內(nèi)容:
腳本內(nèi)容:
如果注入成功,bot就會(huì)收到指令建立反向鏈接:
覆蓋區(qū)域
病毒襲擊了15個(gè)國(guó)家的150家銀行和20個(gè)支付系統(tǒng)。攻擊者主要針對(duì)英國(guó)、西班牙、美國(guó)、俄羅斯、日本和意大利的銀行。
Chtonic目標(biāo)的國(guó)家分布
值得注意的是,盡管配置文件的列表中有很多目標(biāo),但很多用于web注入的代碼片段已經(jīng)不能用了,因?yàn)殂y行更改了他們的網(wǎng)頁,有的銀行甚至域名都改掉了。另外,有些代碼片段我們幾年前在其他病毒(例如Zeus V2)的配置文件中看到過。
總結(jié)
我們看到ZeuS木馬仍然在不斷更新完善,加入新的技術(shù)。這得益于ZeuS源碼的泄露。所以很多寫木馬的把它拿來當(dāng)框架了,任何人都可以加入新功能滿足需求。
所以,以后我們無疑會(huì)看到更多的ZeuS新變種。
部分md5:
12b6717d2b16e24c5bd3c5f55e59528c 148563b1ca625bbdbb60673db2edb74a 6db7ecc5c90c90b6077d5aef59435e02 5a1b8c82479d003aa37dd7b1dd877493 2ab73f2d1966cd5820512fbe86986618 329d62ee33bec5c17c2eb5e701b28639 615e46c2ff5f81a11e73794efee96b38 77b42fb633369de146785c83270bb289 78575db9f70374f4bf2f5a401f70d8ac 97d010a31ba0ddc0febbd87190dc6078 b670dceef9bc29b49f7415c31ffb776a bafcf2476bea39b338abfb524c451836 c15d1caccab5462e090555bcbec58bde ceb9d5c20280579f316141569d2335ca d0c017fef12095c45fe01b7773a48d13 d438a17c15ce6cec4b60d25dbc5421cd
參考來源:Securelist
