中国领先的IT技术网站
|
|

窃取金融信息的恶意代码分析

本文将详细分析执行MITB攻击的窃取金融信息的恶意代码行为。

作者:全球IT风尚编译来源:51CTO.com|2017-03-27 15:46

沙龙活动 | 去哪儿、陌陌、ThoughtWorks在自动化运维中的实践!10.28不见不散!


【51CTO.com快译】本次分析的恶意代码伪造windows系统DLL以加载追加感染的恶性DLL文件,试图窃取金融信息并进行伪造篡改,并且在网上金融交易时,攻击者通过执行MITB(Man-in-the-Browser,浏览器中间人)攻击来达成目的。

MITB攻击是指在金融交易时,不确认用户与供应商之间交易文件的完整性(尤其是检查JavaScript代码的完整性),即使文件被伪造了也可以进行交易,攻击者利用该漏洞,在交易过程中窃取没有加密的区间的敏感信息并进行伪造和篡改。

窃取金融信息的恶意代码分析

本文将详细分析执行MITB攻击的窃取金融信息的恶意代码行为。

一、 分析信息

1. 文件信息

窃取金融信息的恶意代码分析

2. 执行过程

宿主恶意代码感染掉几个文件并执行多样的行为。除去一些细节部分,主要的行为如下图所示。下图中,[Random_c].dll和[Random_d].dll是通过伪造的wshtcpip.dll和mdidmap.dll来进行加载并执行恶意行为的。

内存Hacking恶意代码

该恶意代码又称为“内存Hacking恶意代码”,那是因为通过该恶意代码,在金融交易时,必须加密的敏感信息在内存中临时被解码并且加载的数据被窃取或篡改。并且,攻击者分析在金融交易时使用的安全模块,并窃取该安全模块中有意义的数据。

二、 恶意行为

1. 文件感染

宿主文件(本文中PrimePC.exe)执行时,%TEMP%路径下,以任意名称([tickCount].tmp)生成临时文件。该临时文件作为与宿主文件相同的文件,生成以后根据宿主文件重新执行。通过新的进程活动的临时文件变更宿主文件的内容,并在%TEMP%文件夹下面生成一个其他的文件名([tickCount].exe)的文件。

该文件再次感染若干文件,并且篡改正常的wshtcpip.dll和midimap.dll,然后妨碍特定的安全模块的行为。该文件感染的主要文件如下。

宿主文件(本文中PrimePC.exe)

2. 系统DLL篡改

Windows的正常DLL文件wshtcpip.dll和midimap.dll被篡改为恶意DLL文件。被篡改的DLL是使用LoadLibrary各自加载“[RANDOM_02].dll(295KB)”和“[RANDOM_03].dll (28KB)”的作用。除此以外,剩下的部分与正常的文件相同。被加载的特定恶意DLL因为从宿主文件开始到%SYSTEM%文件夹下已经被感染,所以可以加载。

因此加载wshtcpip.dll和midimap.dll的进程被追加加载“[RANDOM_02].dll”和“[RANDOM_03].dll”。

加载wshtcpip.dll和midimap.dll的进程

3. 杀毒失效

恶意代码会检查是否安装了特定的安全企业的杀毒产品,如果存在这些产品,便会终止杀毒进程服务,还会卸载特定的安全文件并删除。

杀毒失效

4. 终止进程

根据被篡改的wshtcpi.dll文件,[RANDOM_02].dll被加载至“iexplore.exe”中时,会查询特定杀毒产品进程并停止该进程。并且windows title的名字与特定的字符串相符时会传送终止信息,检查的windows title如下:

检查的windows title

5. 追加文件下载与执行

同上,[RANDOM_02].dll被加载至“iexplore.exe”中时,追加的文件会被下载并执行。下载地址被特定的算法进行了解码,解码时如分析中的样品“http://w**b.l***x.com:89/up4/jpg.rar”。该文件下载成功后便会执行。

追加文件下载与执行

6. 用户PC信息窃取

收集PC的信息并传送至特定的URL。收集的信息如下,分析样品的对象远程地址为http://a**f.8*****6.com:85。

用户PC信息窃取

7. 窃取金融信息

[RANDOM_02].dll在“explorer.exe”或“iexplore.exe”中加载时,确认%TEMP%文件夹下是否存在nx1.dat文件。存在的话,便读取该文件的内容并传送至特定的远程地址。nx1.dat文件之后会被存储为包含有NPKI的窃取信息。

读取该文件的内容并传送至特定的远程地址

并且,确认目前加载的host进程是否为“dllhost.exe”或“I3GEX.exe”,然后进入窃取金融信息的过程,窃取过程会生成新的线程来执行。

窃取金融信息

URL地址中,如果存在字符串“w******k.com””b****g.n******p.com”,便会Hooking NPKI窃取行为和特定安全企业的DLL。

NPKI窃取行为进行时,通过各种路径进行搜索,并获取SighCert.der和SighPri.key文件的路径。

检索个路径NPKI相关文件

Hooking时,在修复该模块的代码中窃取转账信息和金融信息等数据,并组合收集到的信息传送至特定的远程地址,可以收集的信息如下:

三、 结论

该恶意代码篡改windows正常DLL文件并试图窃取金融信息。因为篡改对象wshtcpip.dll和midimap.dll是普遍使用的文件,所以篡改时会给用户带来很大的威胁。因金融信息被窃取,用户会遭受金钱损失,并且还有可能被攻击者下载到其他的追加文件,因此需要引起注意。

为了防止受到危害,建议用户不要执行不明出处的文件,并且要时刻将杀软更新至最新版本来保护自己的计算机。

【原标题】[악성코드 분석] 금용정보 탈취 악성코드 분석(作者:INCA)

【编译】微信公众号@全球IT风尚

【链接】http://erteam.nprotect.com/975

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. Gmail新型钓鱼攻击曝光:伪装成附件图片来窃取用户凭证
  2. FortiGuard 实验室报告:全球受攻击的IoT设备呈指数级增长
  3. 俄罗斯阿尔法银行遭DNS攻击 黑客或栽赃其与特朗普团队“有染”
  4. 钓鱼引发的APT攻击回溯:C&C服务器位于韩国,whois注册却在中国上海
  5. Leet僵尸网络超过Mirai 发动650G的DDoS攻击
【责任编辑:IT疯 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

系统分析师考试辅导(2007版)

《系统分析师考试辅导(2007版)》内容涵盖了最新的系统分析师考试大纲信息系统综合知识的所有知识点,分析了近3年信息系统分析与设计案例...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× Python最火的编程语言