概述
从2007年开始,Zeus银行木马已经演变出了很多不同的变种版本,攻击者已经利用这些木马病毒成功地窃取了数百万美元的非法资金,而且还在大量存在漏洞的个人计算机中安装了各种恶意软件。现在,Proofpoint的安全研究专家们正在追踪一种新型的银行木马。而且我们发现,攻击者可以利用这个名为“Panda Banker”的恶意软件,并通过恶意电子邮件附件来对目标用户实施攻击。除此之外,我们还发现攻击者在至少三种不同的漏洞利用工具帮助下,还可以进行大范围的攻击。在对这个木马病毒进行了分析之后,安全研究人员还在木马的配置文件中发现了针对澳大利亚银行和英国银行的恶意注入Payload。
根据Fox-IT的情报部门所提供的信息,安全研究人员在今年的二月份首次发现了这个恶意软件,并且将其命名为“Panda Banker”。接下来,我们会在这篇报告中公布我们针对Panda Banker的分析结果,并且详细描述该木马的运行机制。
分析信息
“Gert.exe ”电子邮件活动
在3月10日,我们检测到了一封带有微软Word文档附件(SHA: bdc912caf9b9e078bc7bd331deacae9c460c8e8893442048b9474790c52e1ab9)的恶意电子邮件,这封恶意邮件利用了漏洞CVE-2014-1761和CVE-2012-0158。攻击者将这封恶意邮件发送给了那些在大众媒体和制造公司工作的职员。如果攻击者能够成功利用目标系统中的漏洞,那么这一恶意电子邮件将会从地址:78.128.92[.]31/gert.exe 下载“Panda Banker”。值得注意的是,研究人员此前还发现过有攻击者曾利用这一子网地址进行过其它类型的攻击活动。
上图显示的是邮件附件中的恶意代码,这段代码将会下载gert.exe。
“Panda.dat”电子邮件活动
在3月19日,我们检测到了一封带有微软Word文件附件(SHA: 6dc0bd77e51eb9af143c749539bd638020d557083479bcd4c4b9639fe61eb0f8)的恶意电子邮件,而且这个Word文档还使用了Xbagging(别名为Bartallex,)下载器。攻击者仅仅将这封电子邮件发送给了少数几家金融机构中的部分员工。恶意文件将会在目标用户的计算机中下载“GODZILLA”加载器(这只是攻击者需要使用到的一个中间工具),然后这个加载器就会自动从远程服务器中下载Panda Banker银行木马。
上图显示的是嵌入了恶意宏的Word文档,其中的恶意代码会下载中间工具,然后加载器便会下载Panda Banker。
传播Panda Banker的漏洞利用工具
从三月份开始,我们就注意到了至少三种不同的漏洞利用工具(例如Angler EK,Nuclear EK,以及Neutrino EK),关键之处就在于这些EK工具会传播Panda Banker银行木马。根据安全研究人员的分析结果显示,攻击人员在向澳大利亚和英国等地区传播Panda Banker的恶意Payload时,还使用到了基于地理位置信息的过滤器。
在2016年3月15日,安全研究人员在英国地区发现了正在传播Panda Banker的Nuclear EK(服务器信息:C&C alwaysonline[.]pw),具体信息如上图所示。
在2016年4月19日,安全研究人员在澳大利亚地区发现了正在传播Panda Banker的Angler EK(服务器信息:C&C secpressnetwork[.]com),具体信息如上图所示。
2016年4月19日,Nuclear EK在澳大利亚地区传播Panda Banker时的相关信息如上图所示。
配置信息
该木马会创建并启动svchost进程的两个实例,第一个进程可以从C&C服务器发送并接收远程控制命令。目标系统中的恶意软件会将目标主机的各种信息发送至远程服务器中,包括系统运行时间,恶意软件注入的进程信息,当前用户的名称,识别感染对象的ID,僵尸网络的名称,僵尸网络的版本(当前为2.1.3),操作系统的版本信息,网络延迟,本地时间,计算机名称,反病毒软件的名称,反间谍软件的名称,以及系统安装的防火墙信息等等。恶意软件会将上述所有的信息全部发送至由攻击者控制的远程服务器中。
服务器在接收到了相应的信息之后,会以经过混淆处理的JSON格式数据来进行响应。响应信息中会包含几个URL地址,恶意软件将会利用这些URL地址下载攻击模块,配置文件,以及相应的配置命令。恶意软件下载的模块包括一个VNC服务器模块(32位或64位)和SOCKS。我们在下面的截图中列出了大部分的配置命令:
上图显示的是从远程C&C服务器返回的部分Panda Banker配置命令。
我们可以从上图中看到,攻击者使用了base64编码来对部分配置命令进行了编码处理。我们观察到web过滤器使用了下列数据:
!*localhost* !*.microsoft.com/* !http://* !http://*myspace.com*
!*facebook.com/ajax/* !*plus.googleapis.com* !*apps.facebook.com*
!*twitter.com/i/jot* !*google.com/chat/* !*googleusercontent.com*
!*pipe.skype.com*
除此之外,我们还在针对澳大利亚和英国银行的木马版本中发现了下列数据:
“vnc” bonet:
http*://*boq.com.au*
https://online.tsb.co.uk/personal/logon/login.jsp
“kan” botnet:
https://*online.tsb.co.uk/personal/*
https://*santander.co.uk*
https://*online.lloydsbank.co.uk/personal/*
https://*secure.lloydsbank.co.uk/personal/*
https://www.halifax-online.co.uk/personal/*
https://*secure.halifax-online.co.uk/personal/*
https://www.bankofscotland.co.uk/personal/*
https://*bankofscotland.co.uk/personal/*
https://*secure.tsb.co.uk/personal/*
请注意,配置文件还有可能包含有例如“webinject1data”,“webinject2data”,以及“webinject3data”等命令,而每一个命令针对的都是不同的银行。在对这些参数的值进行解码(base64)处理之后,我们发现这是一个 JavaScript文件。这个JS脚本中包含一些静态代码,而且还可以从恶意软件的控制面板中获取额外的动态代码。
技术细节
通过动态分析,我们发现了这个银行木马与Zeus银行木马的相似之处。比如说,Panda Banker银行木马创建出的互斥量,文件,文件夹,以及注册表键等信息与Zeus银行木马所创建出来的是相似的。因此,我们怀疑这个恶意软件的代码是直接从Zeus银行木马中抄袭过来的。
我们可以从上面这张截图中看到,这两款木马所创建出的互斥量是非常相似的,沙盒的分析数据也是如此。
如上图所示,Panda Banker和Zeus这两个银行木马所创建的注册表键也是非常相似的。
我们可以从上图中看到,沙箱检测结果显示,这两款银行木马所使用的网络API也是十分相似的。
上图显示的是该恶意软件的持久化机制。
上图显示的是C&C服务器的POST请求示例
恶意软件用于与C&C服务器进行通信的URL地址模式如下:
hxxp://gettort1[.]net/ZrBYsL/496A20B/3/C8D72F43/5/6/C54353D/29/4/4/C80 hxxp://gettort1[.]net/P3zfw/4/32B/188C/CC/CB464B/72EB602/CF280798/9/ hxxp://denoted-chioces[.]com/uXC/5A805F448DE/3F5C048/7/185/49/0689FE1A hxxp://denoted-chioces[.]com/jnE8/45B65/90/9BFCEC/5A0616A/98/3219/BFF8/5/7 hxxp://denoted-chioces[.]com/6URi/198D4E58/E/3F5D2F13D518F/6345/84EF06 hxxp://denoted-chioces[.]com/yyrqM3kquh/5/6A16E40989/3/EBE97E6CA4/7301A/0F05C hxxp://denoted-chioces[.]com/Ya/76B945508CC1/D9F/952/6584/6B/2AB0E40E hxxp://denoted-chioces[.]com/vuV2W/5/9A/D4A0382D6F5CE3953AB7F/25E/3EA1/9 hxxp://eajaxe1995[.]top/G5Eix9r/5/1C8/1BCE/8650D/2D7/5/0425715/6D7055/4/3 hxxp://eajaxe1995[.]top/oepnda7gtr/7/9982EC99A0897F7117/551082/46C76/17 hxxp://eajaxe1995[.]top/PFE/4/6BB1BF7B8/2/CF0D62/05/778280444/57/26
在Panda Banker银行木马所使用的C&C服务器中,有些服务器使用了快速动态解析的DNS服务,而且同一恶意域名下还绑定了大量不同的IP地址,这就使得安全人员很难对这些恶意站点进行跟踪和分析。
自动传输系统(ATS)和控制面板
自动传输系统(ATS)是银行在网上银行平台中所使用的一种能够对资金交易流程进行自动处理的系统,例如转账操作等等。而Panda Banker木马可以利用这个系统来对银行的内部系统进行注入攻击。具体信息如下图所示:
Panda Banker会使用一个独立的页面来作为它的控制面板,如下图所示:
结论
例如Zeus,Dyre,Tinba,以及Dridex等银行木马已经帮助网络犯罪分子成功窃取了数十亿美金了。在大多数情况下,这些恶意软件可以帮助攻击者窃取银行的凭证信息,并且进行欺诈交易。除此之外,安全研究人员还发现,这种类型的木马病毒还可以在目标用户的计算机中安装勒索软件。而且网络犯罪分子还对这些木马病毒进行了改进,他们不仅会利用改进后的恶意软件来窃取工业控制系统的凭证,而且还会对除银行以外的组织和机构进行攻击。
这并没有什么好奇怪的,就安全人员所发现的这个新型银行木马来看,这些木马病毒已经具备了非常完整的信息窃取机制了。与很多现代银行木马一样,Panda Banker与Zeus银行木马有着非常密切的关系,这也就意味着,Panda Banker也有着自己的持久化机制,而且攻击者也可以利用Panda Banker来进行大范围的攻击。
Proofpoint将会继续对这一新型的木马病毒进行跟踪,在安全分析人员得了到进一步的研究结果之后,我们会在第一时间将结果呈现给大家。
参考资料
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=4327
https://www.fox-it.com/intell/
入侵指标(IOC)
还没有评论,来说两句吧...