Arbor安全工程與響應(yīng)小組(ASERT)最近發(fā)布了一篇報告,揭示了復(fù)雜的銀行惡意軟件Neverquest或稱Vawtrak進行逃避檢測的技術(shù)細節(jié),其中包括加密、匿名路由,甚至圖片隱寫技術(shù)。
ASERT的威脅情報及響應(yīng)部門的負責(zé)人表示,他們關(guān)注Neverquest的最初原因是它對金融行業(yè)的沖擊,檢測結(jié)果表明,該惡意軟件的結(jié)構(gòu)極端復(fù)雜,并采取了很多防止研究人員進行檢測分析的手段。該軟件沖擊了25個國家的超過100家大型金融機構(gòu)。
它通過第三方惡意軟件安裝器將自己安裝在用戶的終端機上,然后使用多種方式盜取銀行賬戶信息,包括開戶人的社交網(wǎng)絡(luò)和Email信息。Neverquest的主要目的應(yīng)該是盜取銀行客戶的證書信息。
一旦黑客獲得了這些證書信息,就可以通過用戶的PC端實際登錄到銀行頁面,而并不是通過某個可疑地址進行登錄,因此銀行很難察覺有東西出了差錯。Neverquest一旦獲得了用戶的系統(tǒng)控制權(quán),就會試圖操縱進行銀行轉(zhuǎn)賬。它還能繞過用戶采取的大多數(shù)安全措施,而用戶自身往往相信這些安全措施能夠保護他們。
然而該惡意軟件并不僅僅能繞過銀行的安全系統(tǒng)和用戶的殺毒軟件。惡意軟件的編寫者使用了混淆技術(shù),這使得安全研究人員很難搞懂它是如何工作的,也很難找到應(yīng)對策略。
研究人員表示,Neverquest遠遠超出了傳統(tǒng)檢測的范疇,比如殺毒軟件。殺毒軟件從來就難以跟上惡意軟件的發(fā)展步伐,惡意軟件只需要改變自身的幾個比特就可以繞過檢測,哪怕用戶運行的是最新版殺毒軟件。
Neverquest在代碼中使用了加密技術(shù),因此很難研究它究竟在做什么。而且,它在與幕后服務(wù)器進行通信時同樣使用了加密技術(shù)。它還使用了TOR匿名網(wǎng)絡(luò)和圖片隱寫,這是一種將信息隱藏在圖片中的技術(shù)。通過下載看上去完全無害的圖片,該惡意軟件可以從幕后服務(wù)器上獲得升級版本。
Arbor公司正在抽絲剝繭對此軟件進行分析,首先是檢查硬編碼命令和控制域,然后會研究一些.Onion域。研究人員表示,已經(jīng)分離出了609個幕后服務(wù)器的位置,主要分布在東歐和西歐。
讓研究人員感到震撼的是該軟件中所包含的工作量極大。黑客的攻擊目標是100~200個不同的金融機構(gòu),這些機構(gòu)的相關(guān)網(wǎng)站有數(shù)百個。每個網(wǎng)站都有多個頁面,可以進行網(wǎng)站注入,而每個頁面本身又可能含有多個可注入點。軟件編寫者得以投入如此大的精力,可能是由于人們對惡意軟件行業(yè)的關(guān)注度正在上升。
Sophos公司之前對該軟件的研究表明,Neverquest是惡意軟件代編寫服務(wù)(Malware-as-a-service)的產(chǎn)品。
原文地址:http://www.aqniu.com/tools/7369.html
京公網(wǎng)安備 11010502049343號