今天看啥
热点:

潜伏在SQL数据库中的巴西银行木马


 http://www.bkjia.com/uploads/allimg/150519/050ZC1P-0.jpg

无论是系统管理员还是普通用户,在遇到垃圾邮件时都会头疼。有相当数量的垃圾邮件会传播“性药销售”链接,来诱惑用户点击链接,访问恶意网站。

但是,垃圾邮件除了以上提到的恶意行为外,更多时候它的目的是传播木马病毒。就在近期,英特尔安全卫士检测到有越来越多的黑客选择利用这种方法来传播木马。在此之前,这种木马传播方法并不是很流行,黑客通常会通过入侵网站或web开发工具等方法来传播木马。

我们利用遥测技术获取了垃圾邮件的相关数据并绘制了下图。图中的每个红柱代表的就是一次垃圾邮件攻击。最经常出现的恶意软件系列是下载器,密码窃取器,以及 Ransom-CTB、TeslaCrypt等劫持软件。

t01f6c8353e5d11bda3.png

*垃圾邮件的遥测数据,数字表示的是**McAfee**全球威胁情报服务每天的查询量。*

我们在分析近期的几次垃圾邮件攻击时,注意到了一个很有趣的木马,但是这个木马出现的次数并不多。这个木马是一个使用VB.Net编写的密码窃取器,同时也是一个下载器。木马主要目标是巴西用户。

这个下载器不同于其他常见的下载器,它的最终payload并不是一个URL。在这种情况下,木马会把完整的payload二进制储存到一个Microsoft SQL 数据库。这样的话,系统管理员就更难以发现木马的来源。

一旦在用户在设备上执行了这个木马,下载器就会连接到一个受黑客控制的数据库服务器,查询相应的表格,并下载查询响应中的完整payload。

t019ae9d1a63fff53d8.png

*VB.Net**代码中显示有一个**SQL**连接。*

从上图中,我们可以看到一个连接正在被创建。在这个示例中,连接字符串是加密的。但是,有些样本的连接字符串并不是加密的。

t01aec285a24d0e443f.png

*VB.Net**代码中显示有一个**SQL**连接。*

从上图中,我们可以看到一个连接正在被创建。在这个示例中,连接字符串是加密的。但是,有些样本的连接字符串并不是加密的。

 

t01b8654e8df8fda9b6.png

*示例**-**木马使用的数据库结构。*

从上图中,我们可以看到表格中储存着二进制payload (dbo.arq),以及木马窃取到的信息。在下图中,我们可以看到其中一个表格储存着有关受感染设备的信息,包括计算机名称、 Windows版本、 感染时间、 IE浏览器版本和G-Buster插件版本。

t0101a97f509ffc2688.png

*表格结构,其中储存着有关受感染设备的信息。*

每家银行使用的G-Buster插件版本也都不一样,所以黑客必须要知道受害人通常使用哪家银行的服务。

下面的表格中储存的是从银行会话中收集的信息:

t0142d9232e07009b99.png

*表格中储存着关于网银会话的信息。*

在这个表格中,储存着木马窃取的用户帐号登录截图、鼠标点击的"X,Y"坐标 (用于虚拟键盘)、用户输入的密码和用户名、与计算机相关的信息、木马在银行会话中的操作信息—如捕获令牌Id和密码矩阵卡的数据。

数据库中的其他重要信息则与攻击者有密切联系。数据库中的表格不仅仅储存着二进制payload,这些表格还能识别每个payload所对应的用户。

t01d03bc686300a0b4c.png

*表格中储存着与每个用户相关联的二进制**payload**。*

在上图中,我们可以看到表格中存储着二进制payload(可执行文件),并且每个项目都对应着一个代号。这些代号与木马样本的代号是完全一致的。同时,这些代号也是访问数据库的部分密码。

结合这一信息和我们的样本分析,我们可以断定这六个代号就是开发或传播木马的黑客。

我们在反编译后的源代码中发现了另外的一些信息,这些信息可能会帮助我们找到木马作者。这些木马样本的代码中都包含有一个常数字段,这个字段就是字符串的解密密码。虽然有些木马样本会更改这个值,但是其中绝大多数都是一个默认值:

 

t01b346ae27371b4c45.png

*VB.Net**代码片段中显示木马的代码中存在常数字段。*

在多数样本中,名称“Kayce Buarque”或这个名称的一部分会出现在代码的其它部分,但是,有一个样本把这个值更改成了一个有趣的字符串:

t01b1980adb3678fc6a.png

*代码段显示有一个样本使用了不同的密码。*

这个字符串是葡萄牙语,它的意思是“聆听Fagner演唱的Fanatismo。”Fagner是巴西的一名流行歌手,歌曲"Fanatismo"  是他的成名作。

入侵标识

这种木马主要以邮件附件的形式传播。附件的文件名往往是根据金融术语命名的,字符串的语言是葡萄牙语。我们发现近期的攻击活动中使用了下列文件名模式:

* Curriculum-Vitae-*.exe

* Boleto*.exe

* Anexo-ID*.exe

* OrcamentoPDF*.exe

通配符部分可以替换成完整的名称或数字值,通常指示的是日期。

另一种感染方法是诱使用户点击邮件中的连接,从而下载木马。黑客主要利用Google Docs 或 Dropbox 来储存恶意样本。

一旦执行,木马就会连接到数据库服务器。这一系列的木马都使用了相同的服务器场,通过下面的域模式访问:

* Dbsq*.whservidor.com:1433

* Whl*.whservidor.com <:80 or :443>

* ftp*.whservidor.com:21

这些域名都注册到了Universo Online(巴西的一家主机提供商)。

t0110610a6eb33bec36.png

 

*主机提供商**的**Whois **信息。这些服务器似乎已经被黑客入侵,**并且黑客**在上面创建了恶意账户。*

 

由于这些木马样本使用的帐户并不会长时间在线,所以黑客可能是在提供商不知情的情况下入侵了这些数据库服务器。

恶意软件会自行安装到这个注册表项:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

文件会投放到下面的某个文件夹中:

* %TEMP%

* %APPDATA%

(其中 %TEMP%表示的是用户的临时文件夹;Windows XP-C:\Documents and Settings\\Local Settings\Temp;Windows Vista及更高版本-C:\Users\\AppData\Local\Temp。%APPDATA%指向的是用户配置文件文件夹;WindowsXP-C:\Documents and Settings\\Application Data;Windows Vista及更高版本-C:\Users\\AppData\Roaming 。)

恶意软件使用的文件名可能有所不同,但是大部分情况下,文件名中都会包括设备名称:

* .exe

* newXXX.exe

在二进制文件所在的文件夹中,还会创建一个文件用于储存临时数据,这个文件的名称与二进制文件相同,扩展是.GLP。

我们还会继续调查这个木马系列。和往常一样,最好的防御方法就是养成安全的上网习惯,时刻更新你的安全产品。在处理邮件木马时,你需要牢记:

* 在不确定发件人身份的情况下,不要打开任何.zip附件。在打开附件之前,首先查看邮件的标题,或者是给发件人发一封邮件,验证发件人的身份。

* 不要点击电子邮件中嵌入的超链接。虽然这种威胁通常是作为邮件附件.zip发送的,但是,这一威胁也可以通过访问恶意网站下载。

* 向安全运营中心报告可疑的邮件。提醒你的员工如何以及在哪里可以安全提交可疑电子邮件。

英特尔安全卫士把这个威胁检测为PWS-FCBK。

www.bkjia.comtruehttp://www.bkjia.com/sdfd/1000564.htmlTechArticle潜伏在SQL数据库中的巴西银行木马 无论是系统管理员还是普通用户,在遇到垃圾邮件时都会头疼。有相当数量的垃圾邮件会传播性药销售链...

相关文章

相关搜索: 巴西 木马 数据库

帮客评论

视觉看点