银行木马利用Microsoft SQL Server与命令和控制（C＆C）进行通信

IBM发现，最近发现的银行木马利用Microsoft SQL Server与命令和控制（C＆C）进行通信。

被称为MnuBot 的恶意软件使用数据库服务器与bot进行通信，并向被感染机器发送命令。该木马具有两个组件，每个组件负责两阶段攻击流程的不同阶段。

在初始阶段，恶意软件在％AppData％Roaming 文件夹内搜索名为Desk.txt 的文件。这个文件让MnuBot知道哪个桌面正在运行，如果它存在，木马就什么都不做，因为它知道它运行在一个新的桌面上。

如果该文件不存在，则MnuBot会创建该文件并创建一个新桌面，然后将用户工作区切换到与合法用户桌面一起运行的新桌面。

在新创建的桌面上，MnuBot经常检查前台窗口名称，如果在配置中发现类似银行名称的名称，恶意软件将向服务器查询与该银行名称对应的第二阶段可执行文件。

保存为C：\ Users \ Public \ Neon.exe 的可执行文件实际上是一个远程访问木马（RAT），它可以让攻击者完全控制目标机器。IMB解释说，它还包括MnuBot特有的功能。

感染阶段完成后，恶意软件会连接到C＆C服务器以获取初始配置。必要的SQL服务器详细信息（例如服务器地址，端口，用户名和密码）以加密形式在恶意软件内硬编码（它们在初始化连接之前会被动态解密）。

配置中的字符串包括恶意软件应执行的查询，支持的命令，与之交互的文件以及目标银行网站。如果配置丢失，MnuBot会自行关闭，这意味着在受感染的机器上不会执行恶意活动。

攻击者可以通过直接在服务器上修改配置来动态更改MnuBot的恶意行为，并且还可以防止研究人员在作者停止服务器时反向设计恶意软件示例行为。

一旦用户打开目标网站的网页，第二阶段有效负载就会直接从受害者机器向银行的网站提供一个开放会话给恶意软件操作员。

该恶意软件为操作员提供了创建浏览器和桌面屏幕截图，记录击键，模拟用户点击和击键，重新启动受害机器，从系统中卸载Trusteer Rapport的能力，创建一个覆盖银行页面并窃取用户数据的表单进入那里。

要向受害者机器发送命令，攻击者更新存储在名为jackjhonson 的数据库中的表内的特定列。这些列意在识别要执行的命令的类型，模拟用户点击，在需要屏幕截图的情况下存储受感染机器的截图bmp图像，以及存储输入插入命令所需的输入。

MnuBot使用全屏覆盖形式来阻止用户访问合法的银行网站并欺骗他们泄露敏感数据。在后台，恶意软件操作员控制系统并尝试通过已经打开的银行会话执行非法事务。

如果需要，操作员还会要求用户提供其他详细信息，并使用另一种覆盖表单。在攻击的第二阶段下载的可执行文件包含网络犯罪分子为其恶作剧所需的相关社会工程形式。

针对巴西用户观察到的MnuBot是恶意软件作者不断尝试演变其创作以逃避常规防病毒检测的一个很好的例子。在这种情况下，他们试图用看似无辜的MS SQL流量来隐藏恶意网络通信。