竊取金融信息的惡意代碼分析

作者：全球IT風尚編譯 2017-03-27 15:46:14

本文將詳細分析執行MITB攻擊的竊取金融信息的惡意代碼行為。

【51CTO.com快譯】本次分析的惡意代碼偽造windows系統DLL以加載追加感染的惡性DLL文件，試圖竊取金融信息并進行偽造篡改，并且在網上金融交易時，攻擊者通過執行MITB(Man-in-the-Browser，瀏覽器中間人)攻擊來達成目的。

MITB攻擊是指在金融交易時，不確認用戶與供應商之間交易文件的完整性(尤其是檢查JavaScript代碼的完整性)，即使文件被偽造了也可以進行交易，攻擊者利用該漏洞，在交易過程中竊取沒有加密的區間的敏感信息并進行偽造和篡改。

本文將詳細分析執行MITB攻擊的竊取金融信息的惡意代碼行為。

一、分析信息

1. 文件信息

2. 執行過程

宿主惡意代碼感染掉幾個文件并執行多樣的行為。除去一些細節部分，主要的行為如下圖所示。下圖中，[Random_c].dll和[Random_d].dll是通過偽造的wshtcpip.dll和mdidmap.dll來進行加載并執行惡意行為的。

該惡意代碼又稱為“內存Hacking惡意代碼”，那是因為通過該惡意代碼，在金融交易時，必須加密的敏感信息在內存中臨時被解碼并且加載的數據被竊取或篡改。并且，攻擊者分析在金融交易時使用的安全模塊，并竊取該安全模塊中有意義的數據。

二、惡意行為

1. 文件感染

宿主文件(本文中PrimePC.exe)執行時，%TEMP%路徑下，以任意名稱([tickCount].tmp)生成臨時文件。該臨時文件作為與宿主文件相同的文件，生成以后根據宿主文件重新執行。通過新的進程活動的臨時文件變更宿主文件的內容，并在%TEMP%文件夾下面生成一個其他的文件名([tickCount].exe)的文件。

該文件再次感染若干文件，并且篡改正常的wshtcpip.dll和midimap.dll，然后妨礙特定的安全模塊的行為。該文件感染的主要文件如下。

2. 系統DLL篡改

Windows的正常DLL文件wshtcpip.dll和midimap.dll被篡改為惡意DLL文件。被篡改的DLL是使用LoadLibrary各自加載“[RANDOM_02].dll(295KB)”和“[RANDOM_03].dll (28KB)”的作用。除此以外，剩下的部分與正常的文件相同。被加載的特定惡意DLL因為從宿主文件開始到%SYSTEM%文件夾下已經被感染，所以可以加載。

因此加載wshtcpip.dll和midimap.dll的進程被追加加載“[RANDOM_02].dll”和“[RANDOM_03].dll”。