第二:对它的配置文件进行分析后表明:该木马的目标群为那些网上银行系统,涵盖150多种银行中20多种支付系统,波及15个国家。英国、西班牙、美国。俄罗斯、日本以及意大利,是它分布的主要地段。
卡巴斯基实验室的产品,可以用于检测这种新型的针对银行的木马:Trojan-Banker.Win32.Chthonic。
该木马很明显是ZeusVM得进化版,但是它已经有了很大的改动。这款名为闪灵的木马与仙女座僵尸软件有着相同的加密器,和宙斯AES和宙斯V2木马有着相同加密算法,连虚拟机都和ZeusVM以及KINS用的非常相似。
感染
我们获悉了一些可能与感染了Trojan-Banker.Win32.Chthonic机器关联的技术。
1.发送带有exp的邮件。
2.使用仙女座僵尸软件(卡巴斯基编号:Backdoor.Win32.Androm)下载闪灵木马。
当黑客发送包含该exp的消息时,黑客会特制一个RTF文档,然后使用office软件配合这个编号为CVE-2014-1761的漏洞对受害者进行打击。由于该文件有着DOC得扩展名,因此多了一些隐蔽性。
在成功利用exp后,木马下载者会被自动导入受害者电脑。在上面的例子中,该文件放置在被黑的网站上:hxxp://valtex-guma.com.ua/docs/tasklost.exe。
仙女座僵尸软件会下载hxxp://globalblinds.org/BATH/lider.exe(某下载者软件)。
下载木马
一旦被下载下来,这款下载者会把自身代码注入到msiexec.exe进程中。似乎该款下载者是基于仙女座僵尸软件源码的,尽管它们用的是不同的交互协议。
闪灵下载者包含一个加密的配置文件(加密手法与KINS和ZeusVM类似)。配置文件中包含的主要数据有:С&С服务器列表,16比特位的RC4加密的key,UserAgent,以及僵尸网络ID。
在解密配置文件后,每个独立部分会保存在一堆,格式如下:
这样做不会传递指针。僵尸软件通过使用RtlWalkHeap函数,检测每一堆元素来寻找必要的值。此间会匹配其初始化的与魔术值相关的4个比特位。
这款下载者会把一个类周四木马的系统数据包放置在一起(local_ip, bot_id, botnet_id, os_info, lang_info, bot_uptime以及其他)。先用XorWithNextByte对其进行加密,然后使用RC4再做一次加密。接下来,这个包文件会被发给在配置文件里其中一个C&C服务器地址。
在回应报文中,该木马收到了一个扩展加载器–类宙斯木马的模块,它并非标准PE文件,但是加载器部分对内存做了映射:可执行代码,重定位表,入口点,出口函数,导入表。
这里需要指出的是,导入部分只包括API函数hash值。导入表则采用了Stolen Bytes的方法,并使用了该加载器里专用于此的反汇编程序。当然,以前我们也看到过仙女座僵尸软件中类似的导入功能。
该加载器扩展中还包括一个使用虚拟机加密的配置文件,其用于导入该木马的主模块,然后转而下载其他所有模块。然而,该加载器使用的AES加密,部分使用UCL打包。主模块会加载其他模块,然后使用与闪灵下载者相似的方法导入表,可以看出,这款宙斯变种借用了部分仙女座僵尸软件的功能。
闪灵木马加载的整个序列如下,其中包括上述的模块:
Trojan-Banker.Win32.Chthonic有着模块化的结构。至今为止,我们发现的模块如下:
令人印象深刻的是,该木马会通过多种技术窃取网络银行认证信息。此外VNC和cam记录器模块可以让黑客远程连接受害者电脑,并且使用它进行交易。当然,如果该电脑有摄像头和麦克风的话,录视频和录音也是没问题的。
注入
Web网页注入是闪灵木马的主要武器之一,它们可以让木马把代码和图像插入到浏览器加载的页面中。这能让黑客轻松获得受害者的电话号码,一次性口令和PIN码,登录信息和密码也逃不过它的魔掌。
举个例子,该木马会隐藏某日本网上银行的警告,并生成脚本让黑客可以轻松用受害者账号进行各种交易:
该脚本也可以弹出各类欺骗性窗口,让黑客获得需要的信息。下图是一个假冒的警告信息,要求受害者输入TAN:
我们分析俄罗斯银行的案例时,发现一个不同寻常的Web网页注入。当打开网上银行的网页时,整个网页都是欺骗性内容,并不同于普通攻击里只会做一部分,从技术角度来分析,该木马创建了一个iframe,把整个网页都覆盖掉了。
下面是注入代码的片段,在title和body标签之间的东西全被替换了:
此外,如果注射网页成功,该僵尸软件收到命令建立隐藏后门连接,用于接受和记录。
覆盖率
下图是我们研究出来的,有着不同配置文件的僵尸网络样本。其中,黑客似乎特别钟情于英国,西班牙,美国,俄罗斯,日本,以及意大利。
值得注意的是,尽管以上清单里波及量看起来很大,但是许多WEB注入的代码片段已经失效,这是因为大部分银行已经改变了网页结构,甚至连域名都改了。还有,我们过去曾在一些软件如宙斯V2中,看见过以上部分代码片段。
总结
我们可以看出,宙斯木马仍然是积极发展的,并且正在不断采用新型的技术。当然,这得感谢宙斯的源码被人放了出来,从此以后大家都在借用类似的框架,然后做出新的东西。这款新木马“闪灵”,是宙斯的变种,它借鉴了宙斯的AES加密,借鉴了类似ZeusVM和KINS使用的虚拟机,以及仙女座僵尸软件的下载者。
这意味着在不久将来,我们很快能看见宙斯的新型变种。