ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → IBM X-Force Research发现的新型银行木马MnuBot

IBM X-Force Research发现的新型银行木马MnuBot

时间:2018-06-03 00:00:00人气:作者:本站作者我要评论

IBMX-ForceResearch近期发布了一款新的巴西基于Delphi的恶意软件。这种被称为MnuBot的恶意软件由于其不寻常的命令和控制(C&C)服务器而引起了该团队的注意。

IBM X-Force Research发现的新型银行木马MnuBot

当今大多数恶意软件都使用C&C服务器,该服务器基于某种形式的Web服务器或Internet中继聊天(IRC)频道。C&C服务器用于与恶意软件进行通信并发送要执行的命令。

相反,MnuBot恶意软件使用MicrosoftSQLServer数据库服务器与样本进行通信并发送要在受感染机器上执行的命令。

MnuBot两阶段攻击流程
MnuBot由两个基本组件构建而成,每个代表攻击流程的不同阶段。在第一阶段,MnuBot在AppDataRoaming文件夹中查找名为Desk.txt的文件。

根据文件是否存在,MnuBot执行以下操作:

如果文件不存在,MnuBot会创建该文件,创建一个新桌面并将用户工作区切换到新创建的桌面。该桌面与合法用户桌面并排运行。
如果文件存在,MnuBot什么也不做。
使用Desk.txt文件,MnuBot知道哪个桌面正在运行。因此,如果文件存在,MnuBot知道其当前实例正在新桌面中运行。

C:\Users\lusky\Desktop\Ayabot博客\Figure_2.png

MnuBot在新创建的桌面内运行。

在新创建的桌面中,MnuBot持续检查前景窗口名称。一旦找到与其配置中的某个银行名称类似的窗口名称,它将根据找到的银行名称向服务器查询第二阶段可执行文件。下载的可执行文件保存为C:\Users\Public\Neon.exe-并且它包含攻击的主要逻辑。

下载的可执行文件实际上是一个远程访问特洛伊木马(RAT),它为恶意角色提供对受害者机器的完全控制权,以及MnuBot独有的其他功能。

像其他任何RAT一样,MnuBot需要从服务器接收命令。为此,它会不断向MicrosoftSQL数据库服务器查询新命令。

与数据库通信
在感染受害者机器时,MnuBot连接到C&C服务器以获取初始配置。要连接到服务器,MnuBot使用SQL服务器详细信息(服务器地址,端口,用户名和密码),这些信息在示例中硬编码。

值得一提的是,这些细节以加密形式存储,并在初始化与服务器的连接之前动态解密。

C:\Users\lusky\Desktop\Ayabotblog\decrypt.png

连接细节的解密。

该配置由许多对MnuBot活动至关重要的字符串组成:

查询要执行
恶意演员可以发送的命令
MnuBot将与之交互的文件
银行网站的目标
如果没有配置,MnuBot会自行关闭,不会在受感染的机器上执行任何恶意活动。

通过这种方式接收配置,MnuBot作者试图实现两个主要目标:

动态配置:网络犯罪分子随时都可以动态更改MnuBot的恶意行为(例如,有针对性的银行网站)。
反研究:一旦作者取下服务器,研究人员几乎不可能对恶意软件样本行为进行逆向工程。
C:\Users\lusky\Desktop\Ayabotblog\configuration.png

MnuBot的Wireshark网络捕获,使用SQL查询从C&C服务器获取配置。

犯下欺诈行为
一旦用户对他的银行网站账户进行了开放浏览会话并且可以下载MnuBot的第二阶段可执行文件,网络犯罪分子就可以开始工作。此时,他们已经从受害者的机器向银行公开会话。

为了执行成功的欺诈行为,网络犯罪分子可以使用以下每种MnuBot功能:

创建浏览器和桌面屏幕截图
键盘记录
模拟用户点击和击键
重新启动受害者机器
创建一个表格来覆盖银行的表格并窃取用户输入表格的数据
攻击者通过更新名为USUARIOCONTROLEXGORDO的表中的特定列来向受害者发送命令,该表存储在名为jackjhonson的数据库中。

一些有趣的专栏包括以下内容:

COMP_ACAO:此列标识要执行的命令的类型。
POSICAOMOUSE:如果命令模拟用户点击,该列将用光标位置更新。
USER_IMAGEM:如果请求屏幕截图,该列将使用受感染机器的屏幕截图BMP图像进行更新。
VALORINPUT:该列包含输入以防止输入插入命令。
C:\Users\lusky\Desktop\Ayabot博客\命令table.bmp

使用值PrintDesktop更新列COMP_ACAO向恶意软件发送命令以创建桌面。之后,USER_IMAGM列将随结果更新。

重叠表格
像该地区的许多其他恶意软件家族一样,MnuBot使用全屏覆盖表单来帮助攻击者实施欺诈行为。覆盖表单用于防止受害者访问浏览器内部的开放式银行业务会话。

这些形式是一种让用户等待的社交工程。在后台,网络犯罪分子控制用户端点并尝试通过受害者的开放式银行业务会话执行非法交易。

此外,如果网络犯罪分子需要来自用户的额外细节,他们可以尝试使用另一种覆盖形式向他们提供这些细节。为此,他们使用在攻击的第二阶段(Neon.exe)下载的可执行文件。该可执行文件包含用户当前正在使用的银行的相关社会工程表单。

C:\Users\lusky\Desktop\Ayabotblog\overlaying1.png

基本的覆盖形式。

C:\Users\lusky\Desktop\Ayabotblog\fix.png

社会工程技术:要求更多细节。

打击巴西金融恶意软件景观
MnuBot作者很可能试图逃避基于恶意软件流量的常规防病毒检测。为此,他们决定用看似无辜的MicrosoftSQL流量来包装他们的恶意网络通信。

MnuBot是巴西地区许多恶意软件家族的典范。它具有许多其他最近发现的恶意软件典型特征。例如,覆盖表单和新的桌面创建是当今恶意软件作者在该地区使用的众所周知的技术。

为了成功与新的欺诈技术竞争,必须发展新的保护机制。IBMSecurity开发智能企业安全解决方案和服务,以帮助您的企业今天为未来的网络安全威胁做好准备。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网