最新文章:

首页 安全新闻

银行木马入侵巴西CDN CDN的DownAndExec标准安全性存疑巴西境内传播银行威胁。

发布时间:2017年09月17日 评论数:抢沙发 阅读数:153257924

    在9月11日的时候,安全加报道了 Facebook内容分发网络CDN携带银行木马Banker.ADYV ,近日安全公司ESET对CDN 的 downAndExec 标准进行了分析,发现该标准大量使用JS脚本,可导致恶意软件的下载和执行。研究人员透露,他们发现有攻击者利用该标准和CDN在巴西境内传播银行威胁。

    恶意软件入侵巴西CDN

    攻击链的第一个环节是利用 社会工程 技术诱骗受害者运行恶意应用 NSIS/TrojanDropper.Agent.CL 。该应用为 恶意软件 下载程序,用于抓取外部托管JS的一个片段,在执行流程中使用。

    这个JS片段托管在CDN提供商的基础设施中,不仅为Payload传输和命令与控制(C&C)操作提供了高带宽,而且确保攻击无法立即阻断,因为很难拦截整个CDN域。

    安全研究人员表示,这种情况下,要查找入侵指标也很难,原因是受影响环境可能会存在大量的非恶意软件访问记录。

    主要传播银行木马 并可对抗沙箱

    抓取上述JS片段内容后,调用函数在该片段后添加一个字符串,具体内容包括 downAndExec 、表示托管C&C的URL的两个参数以及“x-id”数据(用于下载其他payload)。

    安全研究人员还发现,除了模糊化处理,对沙箱技术也做了防御。这样,若单独分析JS片段,会发现恶意代码并未执行。此外,脚本在执行恶意操作前会进行一系列的检查,以确保目标机器值得攻击。

    恶意软件先检查各种文件,然后开始查找与银行程序(如Bradesco、Itaú、Sicoob和Santander)相关的文件夹。研究人员表示,这种检查很可能是为了防止在未用于在线银行业务的计算机上激活恶意功能。

    最后,恶意软件还会检查目标计算机是否位于巴西。这表明攻击具有针对性,也可能是为了避免分析。从代码片段可以看出,客户IP属于巴西境内的自治系统(AS)。

    若计算机满足所有条件,恶意软件就会发起同C&C的通信,最终实现入侵。在所分析事件中,恶意软件下载了三个文件,其中一个为 银行木马 。ESET最后说:

    “我们发现,downAndExec技术涉及两个下载阶段和多个防护措施,目的是为了识别符合要求的机器或通过正常代码段分发恶意代码,这些代码段不会自行执行(以绕过在线防护措施),但加入恶意代码后,则会攻陷受害者的计算机。”

    详细的技术分析见这里

    https://www.welivesecurity.com/2017/09/13/downandexec-banking-malware-cdns-brazil/

     

    攻击事件特征 (IoC)

    ESET detection names Hashes (SHA1)
    NSIS/TrojanDropper.Agent.CL 30FC877887D6845007503F3ABD44EC261A0D40C7 
    34F917AABA5684FBE56D3C57D48EF2A1AA7CF06D 
    37648E4B95636E3EE5A68E3FA8C0735125126C17 
    38B7611BB20985512F86DC2C38247593E58A1DF6 
    67458B503047852DD603080946842472E575B856 
    8EA2C548BCB974A380FECE046A7E3F0218632FF2 
    BFFAABCCE3F4CCED896F745A7EC4EBA207028683 
    EFFB36259ACCDFFF07C036C5A41B357692577265
    JS/TrojanDownloader.Agent.QPA 2AD3B1669E8302035E24C838B3C08F2C
    Win32/Spy.Banker.ADYV 51AED47CC54E9671F3EA71F8EE584952
    URLs contacted
    hxxps://1402712571.rsc.cdn77.org
    hxxps://1356485243.rsc.cdn77.org (inactive)
二维码加载中...
本文作者:KIng、传康      文章标题: 银行木马入侵巴西CDN CDN的DownAndExec标准安全性存疑巴西境内传播银行威胁。
本文地址:http://blog.king-safe.cn/post-20.html
版权声明:若无注明,本文皆为“传康Blog- 致力关注于黑客技术、黑客资源、网络信息安全”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论