Arbor安全工程與響應小組(ASERT)最近發布了一篇報告，揭示了復雜的銀行惡意軟件Neverquest或稱Vawtrak進行逃避檢測的技術細節，其中包括加密、匿名路由，甚至圖片隱寫技術。

[[132151]]

ASERT的威脅情報及響應部門的負責人表示，他們關注Neverquest的最初原因是它對金融行業的沖擊，檢測結果表明，該惡意軟件的結構極端復雜，并采取了很多防止研究人員進行檢測分析的手段。該軟件沖擊了25個國家的超過100家大型金融機構。

它通過第三方惡意軟件安裝器將自己安裝在用戶的終端機上，然后使用多種方式盜取銀行賬戶信息，包括開戶人的社交網絡和Email信息。Neverquest的主要目的應該是盜取銀行客戶的證書信息。

一旦黑客獲得了這些證書信息，就可以通過用戶的PC端實際登錄到銀行頁面，而并不是通過某個可疑地址進行登錄，因此銀行很難察覺有東西出了差錯。Neverquest一旦獲得了用戶的系統控制權，就會試圖操縱進行銀行轉賬。它還能繞過用戶采取的大多數安全措施，而用戶自身往往相信這些安全措施能夠保護他們。

然而該惡意軟件并不僅僅能繞過銀行的安全系統和用戶的殺毒軟件。惡意軟件的編寫者使用了混淆技術，這使得安全研究人員很難搞懂它是如何工作的，也很難找到應對策略。

研究人員表示，Neverquest遠遠超出了傳統檢測的范疇，比如殺毒軟件。殺毒軟件從來就難以跟上惡意軟件的發展步伐，惡意軟件只需要改變自身的幾個比特就可以繞過檢測，哪怕用戶運行的是最新版殺毒軟件。

Neverquest在代碼中使用了加密技術，因此很難研究它究竟在做什么。而且，它在與幕后服務器進行通信時同樣使用了加密技術。它還使用了TOR匿名網絡和圖片隱寫，這是一種將信息隱藏在圖片中的技術。通過下載看上去完全無害的圖片，該惡意軟件可以從幕后服務器上獲得升級版本。

Arbor公司正在抽絲剝繭對此軟件進行分析，首先是檢查硬編碼命令和控制域，然后會研究一些.Onion域。研究人員表示，已經分離出了609個幕后服務器的位置，主要分布在東歐和西歐。

讓研究人員感到震撼的是該軟件中所包含的工作量極大。黑客的攻擊目標是100~200個不同的金融機構，這些機構的相關網站有數百個。每個網站都有多個頁面，可以進行網站注入，而每個頁面本身又可能含有多個可注入點。軟件編寫者得以投入如此大的精力，可能是由于人們對惡意軟件行業的關注度正在上升。

Sophos公司之前對該軟件的研究表明，Neverquest是惡意軟件代編寫服務(Malware-as-a-service)的產品。

原文地址：http://www.aqniu.com/tools/7369.html