压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　說到Zeus／Zbot，做安全多多少少都會有所了解。Zeus是對金融系統(tǒng)威脅最大的僵尸網(wǎng)絡之一，控制者借助僵尸程序竊取賬戶登錄信息和信用卡號碼。Zbot往往通過垃圾郵件來傳播，中招的會下載一個程序，這個程序會控制網(wǎng)銀，偷取信息。近期卡巴斯基實驗室發(fā)現(xiàn)了一款ZeuS的最新變種Chthonic。

　　2014年秋季，卡巴斯基發(fā)現(xiàn)了一款新的銀行木馬，之所以引起了卡巴斯基的注意是因為：

　　首先，從技術上來說這款病毒非常有趣，它使用了一種新技術加載模塊。

　　其次，通過分析它的配置文件我們發(fā)現(xiàn)，這款木馬針對的是大量在線銀行系統(tǒng)：超過150家不同的銀行，還有來自15個國家的20個支付系統(tǒng)。主要針對來自英國、西班牙、美國、俄羅斯、日本和意大利的銀行。

　　卡巴斯基實驗室將這款新病毒命名為Trojan-Banker.Win32.Chthonic。

　　雖然經(jīng)過大量修改，我們還是察覺到這款木馬是ZeusVM的變種。Chthonic使用與Andromeda bots相同的加密器，與Zeus AES和Zeus V2木馬相同的加密方案，與ZeusVM和KINS類似的一款虛擬機。

　　感染方式

　　Trojan-Banker.Win32.Chthonic感染主機有兩種方式：

　　發(fā)送帶有exploits的電子郵件；

　　使用Andromeda bot(Backdoor.Win32.Androm)下載到受害者主機上。

　　發(fā)送帶有exploits的電子郵件：犯罪分子會附上一個“精心制作”的RTF文件，文件會利用微軟Office產(chǎn)品中的CVE-2014-1761漏洞。文件的使用的是.DOC后綴，為的是看起來不那么可疑。

　　如果成功的話，受害者的主機就會下載一個downloader木馬。上圖例子中，這個downloader木馬來自一個被攻陷的網(wǎng)站 —— hxxp：//valtex-guma.com.ua/docs/tasklost.exe。

　　Andromeda bot則會從hxxp：//globalblinds.org/BATH/lider.exe下載downloader木馬。

　　下載木馬

　　一旦downloader被下載，就會向msiexec.exe注入代碼。似乎這款downloader是基于Andromeda bot的源代碼修改的，雖然兩者采用了不同的通信協(xié)議。

　　Andromeda和Chthonic downloader的相似之處

　　Andromeda和Chthonic C&C采用了不同的通信協(xié)議

　　Chthonic的downloader包含一個加密的配置文件(KINS和ZeusVM也使用了類似的加密)。配置文件主要包括：一個C&C服務器列表，一個用于RC4加密的16字節(jié)密鑰，UserAgent和僵尸網(wǎng)絡ID。

　　調(diào)用虛擬機函數(shù)的主要過程

　　解密配置文件后，內(nèi)容即被以以下形式儲存在堆內(nèi)存中：

　　這個過程沒有傳遞指針。Andromeda bot會通過RtlWalkHeap函數(shù)檢查每個堆元素，將起始的4個字節(jié)與MAGIC VALUE匹配。

　　downloader會收集本地IP，僵尸id，系統(tǒng)信息，語言信息，uptime和其他信息，然后先用XorWithNextByte進行加密，再用RC4，接著把信息發(fā)送到配置文件中指定的一個C&C地址。

　　發(fā)送信息后，木馬會收到一個擴展加載器。不是標準的PE文件，而是一系列片段，加載器會把這些片段映射到內(nèi)存，這些片段包括：可執(zhí)行代碼，重定位表，入口點，導出的函數(shù)和引入表。

　　Andromeda和Chthonic中的import setup片段

　　頭文件

　　擴展加載器中還包含一個使用虛擬機加密的配置文件。它會加載木馬的主模塊，然后主模塊會下載其他模塊。擴展加載器本身使用AES加密，而其他片段是用UCL打包的。主模塊加載其他模塊，建立引入表的方式與Chthonic downloader很相似。

　　模塊加載過程見下圖：

　　模塊

　　Trojan-Banker.Win32.Chthonic采用模塊結構。至今為止我們已經(jīng)發(fā)現(xiàn)的模塊：

　　名稱                    描述                               是否有64位版本

　　main             主模塊 (v4.6.15.0 – v4.7.0.0)                 是

　　info             收集系統(tǒng)信息                                  是

　　pony             竊取保存的密碼                                否

　　klog             Keylogger                                     是

　　http             Web注入和表單存取                             是

　　vnc              遠程控制                                      是

　　socks            代理服務器                                    是

　　cam_recorder     使用攝像頭錄視頻                              是

　　木馬中有很多函數(shù)通過各種手段竊取在線銀行的用戶名密碼。而VNC和cam_recorder模塊能讓攻擊者遠程連接感染的電腦并且進行交易，還可以用電腦的攝像頭和麥克風錄下視頻音頻。

　　注入

　　Web注入是Chthonic的主要武器：他們能夠用木馬在瀏覽器打開的網(wǎng)頁代碼中插入自己的代碼和圖片。攻擊者能夠借此獲取受害者的手機號碼，一次性密碼和PIN，還有受害者輸入的用戶名和密碼。

　　例如，當用戶訪問日本銀行時，木馬會隱藏銀行的提示警告，并且插入腳本，使得攻擊者能夠使用受害者的賬號進行轉賬：

　　在線網(wǎng)銀網(wǎng)頁截屏（注入前/注入后）

　　注入的腳本中的函數(shù)

　　注入的腳本也會顯示很多假窗口，以獲取攻擊者想要的信息，如下圖所示，窗口顯示一個警告，警告用戶賬號認證有問題，提示用戶輸入交易驗證碼(TAN，Transaction Authentication Number)：

　　交易驗證碼輸入窗口

　　不過我們的分析發(fā)現(xiàn)針對俄羅斯銀行的注入有點異常。當受害者打開一個在線銀行網(wǎng)頁時，網(wǎng)頁的整個頁面都被替換了，而不是像其他銀行一樣只注入一部分。木馬會創(chuàng)建一個與原來窗口大小一樣的iframe，覆蓋原網(wǎng)頁。

　　下圖是注入的代碼的片段，這段代碼會替換title與body結束標記之間的內(nèi)容：

　　腳本內(nèi)容：

　　如果注入成功，bot就會收到指令建立反向鏈接：

　　覆蓋區(qū)域

　　病毒襲擊了15個國家的150家銀行和20個支付系統(tǒng)。攻擊者主要針對英國、西班牙、美國、俄羅斯、日本和意大利的銀行。

　　Chtonic目標的國家分布

　　值得注意的是，盡管配置文件的列表中有很多目標，但很多用于web注入的代碼片段已經(jīng)不能用了，因為銀行更改了他們的網(wǎng)頁，有的銀行甚至域名都改掉了。另外，有些代碼片段我們幾年前在其他病毒（例如Zeus V2）的配置文件中看到過。

　　總結

　　我們看到ZeuS木馬仍然在不斷更新完善，加入新的技術。這得益于ZeuS源碼的泄露。所以很多寫木馬的把它拿來當框架了，任何人都可以加入新功能滿足需求。

　　所以，以后我們無疑會看到更多的ZeuS新變種。