Blackmoon银行木马新样本技术分析与防护方案

在2016年报道的盗取超过15万韩国用户银行信息的Blackmoon银行木马于2017年又被发现采用了全新的框架模式来对网络银行进行攻击,通过三个分开但又彼此联系的步骤来部署该木马,并进行后续的攻击。这与在2016年的以adware和exploit kits为传播方式的框架完全不同。

Blackmoon

早在2016年,Unit 42跟进并分析了一个专门针对韩国银行的网络恶意活动,并将之命名为“KRBanker”即“Blackmoon”。 Blackmoon的攻击方式与传统的MITB模式不太相同,主要是采用“Pharming”的形式将用户重新定向到一个伪造的网站,从而骗取用户在冒充的页面输入的账户信息。伪造的网站IP通过利用QQ空间的API来传递,随后利用PAC(Proxy Auto-Config)与恶意的Javascript来自动配置本地代理设置。用户在访问银行网站时,木马会检测该网站是否为攻击目标,如果是,就会将用户重新定向到伪造的网站,如果不是,则定向到正常的网站。

传播方式

旧传播方式

2016年发现的Blackmoon样本均是以adware以及exploit kits(EK)模式来进行传播并感染用户机器。用来安装Blackmoon的EK叫做KaiXin,通过利用Adobe Flash的一些漏洞来传播安装木马。另一个传播途径是通过一个叫NEWSPOT的adware程序。用户安装了该程序后,通过该程序的update通道,Blackmoon木马会被下载到用户的机器上,随后木马会运行并且开始攻击。

新传播方式

Fidelis于2016年底至2017年初又发现了一个独特的三阶段框架,专门用来传播部署Blackmoon银行木马。 该框架通过按次序部署拥有不同但相关功能的组件来完成完整的Blackmoon木马的传播。 Fidelis把这个框架称为Blackmoon下载器框架(如下图),包括初始下载器(Initial Downloader),字节下载器(Bytecode Downloader)以及KRDownloader。

该框架紧密联系并设计为顺序运行,以促进多个目标,包括逃避以及地理位置定位。 多级下载器的设计目的明确:避免检测,因为功能分布在这些单独的(但是相关的)组件之间。利用该框架的攻击活动仍然瞄准了之前Blackmoon涉及的韩国金融银行组织。

参考链接:

https://www.fidelissecurity.com/threatgeek/2017/05/blackmoon-rising-banking-trojan-back-new-framework

样本技术分析

概述

此次事件与前几年针对韩国金融行业的木马BlackMoon有关,近日安全公司捕获了一系列新的样本,这些样本最终会下载BlackMoon到受害者的计算机中,BlackMoon目前只针对以韩语为计算机语言的目标,暂时并未发现涉及其他地区,在分析之后我们认为这些新样本是一套下载套件,并且是自动生成的,其下载链接非常有规律,应为同一时间生成的。

攻击目标

以韩语为计算机语言的计算机,针对的是韩国的金融机构,当受害者访问以下列表中的URL时,会自动重定向到攻击者的服务器上,盗窃登陆凭证等信息:

样本分析

BlackMoon病毒文件是通过一个新的下载框架下载到指定目标机器上的,我们将以其下载过程为线,介绍其攻击过程及其功能。

阶段一:mini下载器

该阶段的样本文件非常小,只是用作下载,只提供HTTP下载,下载指定的样本文件之后就将下载的文件直接启动,样本通过InternetReadFile直接将下载的文件读入内存,并加载执行,在目标机器上不存在任何证据。并且,样本在构建的时候,添加了大量的垃圾代码,干扰分析人员的分析。

每一个样本下载的文件名称只有编号不同,分析样本下载文件为:

http://www.baoro.org/file/ad_06/cod06

其他样本在下载时只修改了序号,但是网址不会更改,故该系列样本会下载名为file/ad_##/cod## (##表示指定序号)文件。

阶段二:Bytecode下载器

此阶段的样本仍然是一个下载器,但其并不是一个完整的PE文件,而是一段二进制代码,该部分非常简单,只是简单的用XOR解密出下载的URL,并连接,下载指定文件,文件的命名与初始阶段的文件名类似,路径为/ad_##/test##.jpg,而且该数字与初始阶段的数字相同,如此可以推测,这些文件均是自动生成的,利用编号来区分。或许存在一个工具来生成这一套攻击工具。

阶段三:伪装成图片的下载器

通过第二阶段下载下来的文件是.JPG后缀,但是在其执行前会使用文件第四字节中的值对整个文件进行XOR操作,解密后可以看到是一个PE文件。

执行时,样本会对调试器进行检测,利用IsDebuggerPresent()和SetUnhandledExceptionFilter()两个函数进行实现。

绕过这些措施之后,样本将获取需要的函数,并且对计算机语言环境进行检测:

获取指定的函数部分如下:

如果不是韩语环境,则关闭COMSPEC这个进程,并退出。

接着对下述字符串进行替换,即将大写字母替换为小写字母,将小写字母替换为大写字母Ahr0CdOVl3D3DY5Iyw9YBY5VCMCVzMLSzs9Hzf8Woc9RAMfOCs5LEgu@,同时用“=”替换“@”,解密出来之后是一个base64编码字符。

aHR0cDovL3d3dy5iYW9yby5vcmcvZmlsZS9hZF8wOC9ramFocS5leGU=,使用base64解码以后是一个下载连接:http[:]//www.baoro[.]org/file/ad_08/kjahq.exe,可以看到仍然是ad##文件夹下的文件。

样本还会获取本机mac地址和代码页标识符。构建URI字符串后,然后解密它将发送的C2地址将其发送。之后样本将下载的exe文件以及随机附加的覆盖数据写入%TEMP%目录下的*.tmp.exe文件,然后在删除自身之前执行程序。

BlackMoon分析

BlackMoon的攻击流程如下图所示:

样本创建一个挂起的进程C:\windows\comp.exe,通过WriteProcessMemory和ReSumeThread函数注入代码后执行。

随后设置对自身设置开机启动项

恶意服务器的IP地址不会在恶意软件中硬编码,而是通过Qzone的Web API获取服务器地址。该API通过将QQ号码发送到以下URL来提供基本的用户信息。

http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=[QQ号];

然后,服务器将QQ号码对应的链接图片,昵称等信息进行响应。该木马的作者将服务器地址放在“昵称”字段中。

下图展示了请求过程的数据包内容,其中包含IP地址103.54.62.21,用于重定向操作。

接下来,样本在受感染机器上执行GetOEMCP()函数来获取代码页标识符,使用嵌入式VBScript获取MAC地址。

然后,它通过发送以下HTTP GET请求向C2服务器注册当前受感染计算机:

样本采用代理自动配置(PAC),这是Windows和网络管理员的合法功能,可以通过编写JavaScript为每个URL定义适当的代理地址。

样本采用此功能实现域名重定向。

样本启动本地代理服务器并创建以下注册表项。

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ AutoConfigURL = http://127.0.0.1:[random]/[random]

获取本地代理主机加密JavaScript。详细内容参见附录中的脚本代码。

解析脚本内容后,其中存放了大量的SHA1编码数据,测试后发现是指定的网址信息,当受害者访问这些网址时,浏览器流量就被攻击者导向至攻击者的服务器上,以此来进行流量劫持操作。

网络规则

由于其下载的链接是直接编码进去的,存在在代码中,而并非是以往的样本将链接存放在数据中,故URL只能标识特定的样本。

威胁情报信息

根据样本的分析信息,绿盟科技威胁情报中心(NTI)也增加了针对此次事件的追踪与监测,仅该报告发布当日,检测到与该木马行为相关的IoC 共95条,包括相关的IP,域名以及文件,由此看来,该木马的相关行为仍然比较活跃。

更多详情可以访问绿盟科技威胁情报中心(NTI)查看对于该事件的实时情报追踪:

https://nti.nsfocus.com/event?query=98ad4d48c574ae0e3744b499d37bd7c9fc81c0d4&type=all

检测方法

用户自我检测方法

用户可以屏蔽相关恶意域名来防止该木马被下载安装:

 

绿盟科技木马专杀解决方案

  • 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS +TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。长期对此恶意样本进行检测,保护客户系统安全。
  • 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

总结

该样本系列主要是利用了一个新的下载“套件”,该“套件”一共有三个下载器,能够将BlackMoon木马成功的下载到指定地区的计算机中,如果将其下载内容进行替换,则很难对其进行跟踪检测,同时,该“套件”可以很容易的针对某一地区进行“定点”攻击,具有很强的自由性。

BlackMoon木马主要针对金融行业的从业人员,当受害者的机器感染此木马后,该木马充当了一个浏览器中间人的角色,对网络流量进行重定向,以获取受害者输入的登陆凭证信息,造成大量账户信息泄露,危害巨大,目前只发现其对韩国地区进行攻击。

附录

从本地代理服务器中获取的javascript脚本内容。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880



发表评论