窃取金融信息的恶意代码分析

译文
安全
本文将详细分析执行MITB攻击的窃取金融信息的恶意代码行为。

【51CTO.com快译】本次分析的恶意代码伪造windows系统DLL以加载追加感染的恶性DLL文件,试图窃取金融信息并进行伪造篡改,并且在网上金融交易时,攻击者通过执行MITB(Man-in-the-Browser,浏览器中间人)攻击来达成目的。

MITB攻击是指在金融交易时,不确认用户与供应商之间交易文件的完整性(尤其是检查JavaScript代码的完整性),即使文件被伪造了也可以进行交易,攻击者利用该漏洞,在交易过程中窃取没有加密的区间的敏感信息并进行伪造和篡改。

窃取金融信息的恶意代码分析

本文将详细分析执行MITB攻击的窃取金融信息的恶意代码行为。

一、 分析信息

1. 文件信息

窃取金融信息的恶意代码分析

2. 执行过程

宿主恶意代码感染掉几个文件并执行多样的行为。除去一些细节部分,主要的行为如下图所示。下图中,[Random_c].dll和[Random_d].dll是通过伪造的wshtcpip.dll和mdidmap.dll来进行加载并执行恶意行为的。

内存Hacking恶意代码

该恶意代码又称为“内存Hacking恶意代码”,那是因为通过该恶意代码,在金融交易时,必须加密的敏感信息在内存中临时被解码并且加载的数据被窃取或篡改。并且,攻击者分析在金融交易时使用的安全模块,并窃取该安全模块中有意义的数据。

二、 恶意行为

1. 文件感染

宿主文件(本文中PrimePC.exe)执行时,%TEMP%路径下,以任意名称([tickCount].tmp)生成临时文件。该临时文件作为与宿主文件相同的文件,生成以后根据宿主文件重新执行。通过新的进程活动的临时文件变更宿主文件的内容,并在%TEMP%文件夹下面生成一个其他的文件名([tickCount].exe)的文件。

该文件再次感染若干文件,并且篡改正常的wshtcpip.dll和midimap.dll,然后妨碍特定的安全模块的行为。该文件感染的主要文件如下。

宿主文件(本文中PrimePC.exe)

2. 系统DLL篡改

Windows的正常DLL文件wshtcpip.dll和midimap.dll被篡改为恶意DLL文件。被篡改的DLL是使用LoadLibrary各自加载“[RANDOM_02].dll(295KB)”和“[RANDOM_03].dll (28KB)”的作用。除此以外,剩下的部分与正常的文件相同。被加载的特定恶意DLL因为从宿主文件开始到%SYSTEM%文件夹下已经被感染,所以可以加载。

因此加载wshtcpip.dll和midimap.dll的进程被追加加载“[RANDOM_02].dll”和“[RANDOM_03].dll”。

加载wshtcpip.dll和midimap.dll的进程

3. 杀毒失效

恶意代码会检查是否安装了特定的安全企业的杀毒产品,如果存在这些产品,便会终止杀毒进程服务,还会卸载特定的安全文件并删除。

杀毒失效

4. 终止进程

根据被篡改的wshtcpi.dll文件,[RANDOM_02].dll被加载至“iexplore.exe”中时,会查询特定杀毒产品进程并停止该进程。并且windows title的名字与特定的字符串相符时会传送终止信息,检查的windows title如下:

检查的windows title

5. 追加文件下载与执行

同上,[RANDOM_02].dll被加载至“iexplore.exe”中时,追加的文件会被下载并执行。下载地址被特定的算法进行了解码,解码时如分析中的样品“http://w**b.l***x.com:89/up4/jpg.rar”。该文件下载成功后便会执行。

追加文件下载与执行

6. 用户PC信息窃取

收集PC的信息并传送至特定的URL。收集的信息如下,分析样品的对象远程地址为http://a**f.8*****6.com:85。

用户PC信息窃取

7. 窃取金融信息

[RANDOM_02].dll在“explorer.exe”或“iexplore.exe”中加载时,确认%TEMP%文件夹下是否存在nx1.dat文件。存在的话,便读取该文件的内容并传送至特定的远程地址。nx1.dat文件之后会被存储为包含有NPKI的窃取信息。

读取该文件的内容并传送至特定的远程地址

并且,确认目前加载的host进程是否为“dllhost.exe”或“I3GEX.exe”,然后进入窃取金融信息的过程,窃取过程会生成新的线程来执行。

窃取金融信息

URL地址中,如果存在字符串“w******k.com””b****g.n******p.com”,便会Hooking NPKI窃取行为和特定安全企业的DLL。

NPKI窃取行为进行时,通过各种路径进行搜索,并获取SighCert.der和SighPri.key文件的路径。

检索个路径NPKI相关文件

Hooking时,在修复该模块的代码中窃取转账信息和金融信息等数据,并组合收集到的信息传送至特定的远程地址,可以收集的信息如下:

三、 结论

该恶意代码篡改windows正常DLL文件并试图窃取金融信息。因为篡改对象wshtcpip.dll和midimap.dll是普遍使用的文件,所以篡改时会给用户带来很大的威胁。因金融信息被窃取,用户会遭受金钱损失,并且还有可能被攻击者下载到其他的追加文件,因此需要引起注意。

为了防止受到危害,建议用户不要执行不明出处的文件,并且要时刻将杀软更新至最新版本来保护自己的计算机。

【原标题】[악성코드 분석] 금용정보 탈취 악성코드 분석(作者:INCA)

【编译】微信公众号@全球IT风尚

【链接】http://erteam.nprotect.com/975

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:赵宁宁 来源: 51CTO.com
相关推荐

2013-11-08 10:42:09

代码工具

2013-11-05 15:06:29

scdbg恶意代码分析安全工具

2016-11-24 11:07:54

Andriod恶意代码

2013-11-12 13:09:46

2016-07-11 12:46:15

2018-11-27 16:35:19

黑客JavaScript代码

2011-08-09 11:45:45

2014-10-23 09:40:57

2014-10-29 14:43:05

2014-12-12 14:55:42

移动恶意代码移动安全

2014-10-23 18:26:02

破壳漏洞Shellshock远程代码执行漏洞

2013-07-27 21:04:58

2011-08-09 11:51:37

2021-03-01 11:33:03

微软恶意代码恶意软件

2014-12-30 16:37:11

2021-11-17 10:40:33

网络安全恶意代码网络攻击

2019-05-27 11:13:07

2020-08-10 09:00:16

微软浏览器Windows

2010-09-03 12:01:17

SQL删除

2022-07-26 11:46:14

黑客论坛Rust编码恶意软件
点赞
收藏

51CTO技术栈公众号