ATMDtrack:六年前攻击首尔的恶意软件,这次瞄准了印度银行业

Change Web安全 2019年9月28日发布
Favorite收藏

导语:2018年,卡巴斯基研究人员发现了一种针对印度的银行恶意软件——ATMDtrack,其功能是植入ATM后读取和存储银行卡中的数据,进一步研究后,卡巴斯基发现了ATMDtrack的180个新样本,并将其统称为Dtrack。

2018年,卡巴斯基研究人员发现了一种针对印度的银行恶意软件——ATMDtrack,其功能是植入ATM后读取和存储银行卡中的数据,进一步研究后,卡巴斯基发现了ATMDtrack的180个新样本,并将其统称为Dtrack。

早期发现的所有Dtrack样本都是已经植入的样本,因为实际Payload是用各种dropper加密的,而ATMDtrack和Dtrack内存转储共享的唯一序列,是发现这些样本的关键线索。在解密并了解最终的payload后,我们发现它与DarkSeoul行动(2013年朝鲜战争纪念日时,对韩国网络的攻击行动)存在一些相似之处,该行动可归因于朝鲜黑客团伙Lazarus组织。那么看来,Lazarus组织重新使用了了部分旧代码来攻击印度的金融部门。检测到的DTrack最近一次活动是在2019年9月初。

技术细节

Dropper将加密payload作为overlay(附加数据)嵌入到PE文件中,视作在正常执行步骤中永远不会使用的额外数据。它的解密例程是可执行物理补丁的一部分,从start()和WinMain()函数之间的某个位置开始。值得注意的是,创作者将恶意代码嵌入到一个非恶意可执行二进制文件中,默认是Visual Studio MFC项目,在某些情况下也可以是任何其他程序。

解密的overlay数据包含以下内容:

· 另外一个可执行文件;

· process hollowing shellcode;

· 预定义的可执行文件名称列表,恶意软件将其用作未来进程名称。

数据解密后,process hollowing代码运行,将要挖空的进程名称作为变元,名称来自上述的预定义列表。所有名称都来自%SYSTEM32%文件夹,如下所示:

· fontview.exe

· dwwin.exe

· wextract.exe

· runonce.exe

· grpconv.exe

· msiexec.exe

· rasautou.exe

· rasphone.exe

· extrac32.exe

· mobsync.exe

· verclsid.exe

· ctfmon.exe

· charmap.exe

· write.exe

· sethc.exe

· control.exe

· presentationhost.exe

· napstat.exe

· systray.exe

· mstsc.exe

· cleanmgr.exe

Dropper

执行后,process hollowing的目标将被挂起,直到其内存被解密的可执行payload覆盖后才会恢复。

Dropper包含各种可执行文件,都是用来监视受害者的。以下是找到的各种Dtrack payload可执行文件的功能列表(尚不完整):

· 键盘记录,

· 检索浏览器历史记录,

· 收集主机IP地址、可用网络和活动连接的信息,

· 列出所有正在运行的进程,

· 列出所有可用磁盘卷上的所有文件。

在这一点上,框架的设计理念变得有些模糊。一些可执行程序将收集到的数据加密到归档文件后保存到磁盘上,而另一些程序则直接将数据发送到C&C服务器。

除上述可执行文件外,Dropper还包含一个远程访问木马(RAT)。RAT可执行文件允许犯罪分子在主机上执行各种操作,例如上传/下载、执行文件等。相关操作请参见下表:

image.png

Dtrack和ATMDTrack的相似之处

ATMDTrack是DTrack家族的分支,有相似之处,也有所不同。例如,Dtrack的payload是在dropper中加密的,不像ATMDTrack样本那样根本没有加密,但在解密Dtrack payload后可以发现,开发人员明显是同一群人:两组项目风格相同,实现功能也类似。它们最明显的共同点是字符串操作函数——检查参数字符串开头是否有CCS_子字符串,将其删除并返回一个修改后的子字符串,否则使用第一个字节作为XOR参数并返回解密的字符串。

my-name-is-dtrack.png

恶意软件共有函数(函数/参数由研究人员命名)

结论

首次发现ATMDtrack时,我们以为这是另一个ATM恶意软件家族,因为常常有新的ATM恶意软件冒出。现在,我们可以在Lazarus组织的武器库中添加另一组家族:ATMDtrack和Dtrack。

而我们发现的大量Dtrack样本表明,就恶意软件开发而言,Lazarus组织是最活跃的APT组织之一,目前仍在持续快速开发恶意软件和扩展运营中。2013年在首尔发现的早期样本六年后又在印度死灰复燃,还袭击了金融机构和研究中心,Lazarus再一次出于经济动机或纯粹的间谍活动而挑起了攻击。

为了成功进行间谍活动,犯罪分子应该至少能够部分控制内部网络,这意味着受攻击组织可能有许多安全问题,例如网络安全政策薄弱、密码设置薄弱、缺乏流量监控等。

因此,我们建议公司需要加强他们的网络和密码政策,以及使用流量监控软件和防病毒解决方案。

 IoCs

8f360227e7ee415ff509c2e443370e56

3a3bad366916aa3198fd1f76f3c29f24

F84de0a584ae7e02fb0ffe679f96db8d

本文翻译自:https://securelist.com/my-name-is-dtrack/93338/如若转载,请注明原文地址: https://www.4hou.com/web/20587.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论