歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

ATMDtrack:六年前攻擊首爾的惡意軟件,這次瞄準了印度銀行業

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿

2018年,卡巴斯基研究人員發現了一種針對印度的銀行惡意軟件——ATMDtrack,其功能是植入ATM后讀取和存儲銀行卡中的數據,進一步研究后,卡巴斯基發現了ATMDtrack的180個新樣本,并將其統稱為Dtrack。
早期發現的所有Dtrack樣本都是已經植入的樣本,因為實際Payload是用各種dropper加密的,而ATMDtrack和Dtrack內存轉儲共享的唯一序列,是發現這些樣本的關鍵線索。在解密并了解最終的payload后,我們發現它與DarkSeoul行動(2013年朝鮮戰爭紀念日時,對韓國網絡的攻擊行動)存在一些相似之處,該行動可歸因于朝鮮黑客團伙Lazarus組織。那么看來,Lazarus組織重新使用了了部分舊代碼來攻擊印度的金融部門。檢測到的DTrack最近一次活動是在2019年9月初。
技術細節
Dropper將加密payload作為overlay(附加數據)嵌入到PE文件中,視作在正常執行步驟中永遠不會使用的額外數據。它的解密例程是可執行物理補丁的一部分,從start()和WinMain()函數之間的某個位置開始。值得注意的是,創作者將惡意代碼嵌入到一個非惡意可執行二進制文件中,默認是Visual Studio MFC項目,在某些情況下也可以是任何其他程序。
解密的overlay數據包含以下內容:
· 另外一個可執行文件;
· process hollowing shellcode;
· 預定義的可執行文件名稱列表,惡意軟件將其用作未來進程名稱。
數據解密后,process hollowing代碼運行,將要挖空的進程名稱作為變元,名稱來自上述的預定義列表。所有名稱都來自%SYSTEM32%文件夾,如下所示:
· fontview.exe
· dwwin.exe
· wextract.exe
· runonce.exe
· grpconv.exe
· msiexec.exe
· rasautou.exe
· rasphone.exe
· extrac32.exe
· mobsync.exe
· verclsid.exe
· ctfmon.exe
· charmap.exe
· write.exe
· sethc.exe
· control.exe
· presentationhost.exe
· napstat.exe
· systray.exe
· mstsc.exe
· cleanmgr.exe
Dropper
執行后,process hollowing的目標將被掛起,直到其內存被解密的可執行payload覆蓋后才會恢復。
Dropper包含各種可執行文件,都是用來監視受害者的。以下是找到的各種Dtrack payload可執行文件的功能列表(尚不完整):
· 鍵盤記錄,
· 檢索瀏覽器歷史記錄,
· 收集主機IP地址、可用網絡和活動連接的信息,
· 列出所有正在運行的進程,
· 列出所有可用磁盤卷上的所有文件。
在這一點上,框架的設計理念變得有些模糊。一些可執行程序將收集到的數據加密到歸檔文件后保存到磁盤上,而另一些程序則直接將數據發送到C&C服務器。
除上述可執行文件外,Dropper還包含一個遠程訪問木馬(RAT)。RAT可執行文件允許犯罪分子在主機上執行各種操作,例如上傳/下載、執行文件等。相關操作請參見下表:

Dtrack和ATMDTrack的相似之處
ATMDTrack是DTrack家族的分支,有相似之處,也有所不同。例如,Dtrack的payload是在dropper中加密的,不像ATMDTrack樣本那樣根本沒有加密,但在解密Dtrack payload后可以發現,開發人員明顯是同一群人:兩組項目風格相同,實現功能也類似。它們最明顯的共同點是字符串操作函數——檢查參數字符串開頭是否有CCS_子字符串,將其刪除并返回一個修改后的子字符串,否則使用第一個字節作為XOR參數并返回解密的字符串。

惡意軟件共有函數(函數/參數由研究人員命名)
結論
首次發現ATMDtrack時,我們以為這是另一個ATM惡意軟件家族,因為常常有新的ATM惡意軟件冒出。現在,我們可以在Lazarus組織的武器庫中添加另一組家族:ATMDtrack和Dtrack。
而我們發現的大量Dtrack樣本表明,就惡意軟件開發而言,Lazarus組織是最活躍的APT組織之一,目前仍在持續快速開發惡意軟件和擴展運營中。2013年在首爾發現的早期樣本六年后又在印度死灰復燃,還襲擊了金融機構和研究中心,Lazarus再一次出于經濟動機或純粹的間諜活動而挑起了攻擊。
為了成功進行間諜活動,犯罪分子應該至少能夠部分控制內部網絡,這意味著受攻擊組織可能有許多安全問題,例如網絡安全政策薄弱、密碼設置薄弱、缺乏流量監控等。
因此,我們建議公司需要加強他們的網絡和密碼政策,以及使用流量監控軟件和防病毒解決方案。
 IoCs
8f360227e7ee415ff509c2e443370e56
3a3bad366916aa3198fd1f76f3c29f24
F84de0a584ae7e02fb0ffe679f96db8d
 

【聲明】:黑吧安全網(http://www.eyhadu.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        彩票大数据