俄罗斯浮现新型银行木马Silence,或与Carbanak有关

业界 作者:HackerEye 2017-11-07 02:54:40
近日,卡巴斯基实验室的研究人员发现了一种新型木马——Silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。 卡巴斯基的 GreAT 调查小组表示: 2017 年 9 月,我们发现了一种专门针对金融机构的网络攻击,受害者大多集中在俄罗斯银行。攻击者使用了一种十分有效的技术来窃取银行资金:长期访问银行内网,监控职员日常工作,了解银行内部的运作过程和日常软件,然后利用这些信息窃取更多的钱。 虽然没有直接线索将该木马和臭名昭著的 Carbanak 组织(该组织专门对银行进行网络攻击)联系在一起,但攻击者的作案手法和 Carbanak 类似。从这点上可以看出,Silence 很可能是 Carbanak 的故技重施,或是别的组织在看了安全公司对 Carbanak 的技术分析后,仿效了这次攻击。 Silence 攻击是如何发生的 研究人员对整个攻击事件进行了还原,发现最初的攻击手段很常见,攻击者首先拿到了银行雇员的电子邮箱账号。(有可能是使用了恶意软件,也有可是使用了以前网上泄露的账号密码。) Silence 利用银行员工的账户向其他银行同事发送钓鱼软件。目的是为了找出哪些人可以访问银行管理系统。 钓鱼邮件 这些邮件包含 CHM 附件(编译后的 HTML 文件)。如果受害者下载并打开了这些附件,CHM 文件就会运行一段 javascript 代码,并下载恶意程序执行第一阶段的 playload。 CHM 格式文件: CHM是英语“Compiled Help Manual”的简写,即“已编译的帮助文件”。CHM是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。 CHM文件格式是微软1998年推出的基于HTML文件特性的帮助文件系统,以替代早先的WinHelp帮助系统,它在Windows 98中把CHM类型文件称作“已编译的HTML帮助文件”。被IE浏览器支持的JavaScript、VBScript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,CHM同样支持,并可以通过URL与Internet联系在一起。 研究人员表示该恶意程序是一个“dropper”,它是一个 Win32 可执行程序,可以将受害者电脑中的数据发送到攻击者的 C&C 服务器上。 Silence 工作原理:不断截屏,记录受害者电脑工作情况 如果攻击者认为受感染 PC 有利用价值,他们就会发送第二阶段的 playload——Silence 木马,它的主要功能就是不断截屏受害者的电脑桌面。 这些截图的拍摄间隔很短,然后会上传到 C&C 服务器上,这样就创建了一个可以监视员工活动的伪视频流。 C&C IP 攻击者之所以选择屏幕截图这样的方式,而不录制实际的视频, 好处在于这样可以利用较少的 PC 资源,这样就很难检测到它,这也是 Silence 名字的缘由。 然后攻击者可以查看这些截图,从中寻找他们可以进一步利用的信息,比如银行内网资金管理系统后台网页 URL,可以利用的本地应用程序,或者审视银行内网电脑的大致情况。 研究人员表示,攻击者在整个过程的后半段,利用的是合法的 Windows 管理工具在后台运行,成功隐藏了自己行踪,而这正是 Carbanak 以前使用过的技术。 此之后的攻击细节,卡巴斯基没有透露,而涉及哪些银行,偷走了多少钱,也没有透露。 这些银行劫匪越来越有“创意” Silence 出现标志着犯罪分子已经将攻击目标从普通用户转向了银行,因为对比用户来说,银行能窃取的钱要更多。随着越来越“高级”的银行网络抢劫事件的发生,这种趋势越来越明显,无论银行的安全架构多么完善,攻击者悄悄行事的“作风”还是令人担忧。 针对俄罗斯银行的网络攻击,Silence 已经不是第一次了。早在以前,Trustwave SpiderLabs 就发现了另外一个黑客组织,使用“overdraft” 技术来攻击银行,从几个东欧金融机构窃取了 4000 万美元。 而 Carbanak 以前的活动还使用过 Google 合法服务(Google Apps Script, Google Sheets, 和 Google Forms )部署 C&C 服务器,并诱骗银行技术支持部门员工打开含有恶意软件的文档。而这些员工的电脑在后续的侦测数据和直接攻击中起到了关键作用。 Silence 木马更详细的技术分析,IOCs,可移步卡巴斯基发布的报告。 参考链接: https://www.bleepingcomputer.com/news/security/-silence-trojan-records-pseudo-videos-of-bank-pcs-to-aid-bank-cyber-heists/ http://www.securityweek.com/new-silence-trojan-used-ongoing-bank-attacks http://securityaffairs.co/wordpress/65061/cyber-crime/silence-group-bank-attacks.html *本文作者:Liki,来自 FreeBuf.COM

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接