《寂靜之夜》是ZeuS衍生的新型復(fù)雜且高度混淆的Zloader / Zbot銀行木馬。
2020年3月����,F(xiàn)ireEye和IBM均報(bào)告了針對(duì)COVID-19金融補(bǔ)償計(jì)劃的惡意活動(dòng)。FireEye將惡意軟件有效負(fù)載稱為“ SILENTNIGHT”��;IBM將其描述為ZeuS Sphinx / Terdot變體�����。他們?cè)谝黄鹗钦_的�����。Silent Night是ZeuS的新衍生產(chǎn)品�����,目前以惡意軟件即服務(wù)(MaaS)模式提供�。
Malwarebytes(PDF)和HYAS聯(lián)合發(fā)布了對(duì)該新惡意軟件的詳細(xì)分析。Silent Night 1.0版本于2019年11月進(jìn)行了編譯����。大約在同一時(shí)間,它被稱為Axe的賣方在俄羅斯地下論壇forum.exploit [���。] in上出售�。阿克斯聲稱它是他自己的銀行木馬��,并說(shuō)他花了五年多的時(shí)間開(kāi)發(fā)它����。但是,盡管它肯定是新的�����,但Malwarebytes / HYAS分析證明了它對(duì)原始ZeuS和最近的衍生產(chǎn)品(如Terdot)的欠債。
對(duì)于MaaS來(lái)說(shuō)��,價(jià)格太高了:一個(gè)獨(dú)特的版本每月4,000美元�;一般建筑每月2,000美元;500美元只是為了測(cè)試14天���。通常��,MaaS借助低成本�����,易于使用的受支持惡意軟件來(lái)吸引經(jīng)驗(yàn)不足或想成為黑客的巨大市場(chǎng)�,同時(shí)為開(kāi)發(fā)人員提供穩(wěn)定的收入來(lái)源����。信息竊取者是常見(jiàn)的 MaaS產(chǎn)品。
Axy的價(jià)格為每月4,000美元��,似乎瞄準(zhǔn)了一個(gè)不同的市場(chǎng)-也許是融資較少���,組織完善的團(tuán)伙的數(shù)量較少����,這些團(tuán)伙擁有現(xiàn)成的分發(fā)和洗錢基礎(chǔ)設(shè)施,但他們?nèi)匀幌M褂蒙唐返珡?fù)雜的惡意軟件�。它已經(jīng)被RIG漏洞利用工具丟棄,并用于帶有武器化Word文檔的針對(duì)美國(guó)�,加拿大和澳大利亞的COVID-19垃圾郵件活動(dòng)。最近的一個(gè)廣告系列使用帶有嵌入式宏的Excel工作表��,而另一個(gè)使用附加的VBS腳本����。
“寂靜之夜”的一個(gè)突出特點(diǎn)是其模糊程度��。它使用專門開(kāi)發(fā)的自定義混淆器��,可變形所有代碼并加密代碼中的字符串和所有常量值����。研究人員說(shuō),輸出是一個(gè)非�����;靵y的代碼�,對(duì)性能沒(méi)有任何嚴(yán)重影響。研究人員寫道:“線路解密是按需即時(shí)進(jìn)行的��,將被臨時(shí)存儲(chǔ)在堆棧中�����! “常量值的解密也可以隨時(shí)進(jìn)行���,每個(gè)常量都有其自己獨(dú)特的解密功能……因此��,對(duì)于每個(gè)程序集�����,我們都會(huì)獲得一個(gè)唯一的文件���,并且一鍵單擊即可刪除任何簽名����!
研究人員還找到了《寂靜之夜》用戶手冊(cè),該手冊(cè)使他們能夠深入了解惡意軟件中的不同功能�。有趣的是,研究人員發(fā)現(xiàn)了嵌入在其中一個(gè)模塊中的可用命令列表�����。該列表包括用戶手冊(cè)中描述的所有命令,但還有一些其他功能�����,例如����,獲取文件和獲取密碼。這意味著Ax會(huì)繼續(xù)開(kāi)發(fā)和擴(kuò)展惡意軟件的功能�。
攻擊始于“寂靜之夜”裝載機(jī)��,通常是作為附件提供的���。如果MaaS Silent Night模型越來(lái)越多地被犯罪團(tuán)伙使用���,我們很可能會(huì)看到其他分發(fā)方法。執(zhí)行后�,它將運(yùn)行msiexec并將其自身注入其中。然后����,加載程序從C2服務(wù)器或本地存儲(chǔ)中檢索Silent Night bot,并將其注入到msiexec的同一實(shí)例中。
該機(jī)器人的主要功能包括VNC服務(wù)器��,瀏覽器本地代理和竊取器功能��。VNC服務(wù)器為攻擊者提供了遠(yuǎn)程訪問(wèn)權(quán)限�,并在惡意軟件運(yùn)行時(shí)在后臺(tái)運(yùn)行。
瀏覽器中的人功能提供抓圖和網(wǎng)絡(luò)注入�����。該惡意軟件會(huì)安裝自己的偽造證書并運(yùn)行本地代理���。
該機(jī)器人還可以充當(dāng)經(jīng)典的盜竊者��。來(lái)自主要功能的線程之一負(fù)責(zé)竊取cookie��,保存的憑證和文件�。但是���,也可以根據(jù)需要通過(guò)部署專用的遠(yuǎn)程命令來(lái)分別執(zhí)行此線程中累積的命令����。
《寂靜之夜》寫的很好���,其模塊化設(shè)計(jì)比以前的ZeuS衍生物(例如Terdot)要好�����,而不是革命性的�。研究人員說(shuō):“除了定制的混淆器之外,該產(chǎn)品沒(méi)有太多新穎性�������!都澎o之夜》不是任何游戲規(guī)則改變者���,而是另一個(gè)基于ZeuS的銀行木馬��������! 話雖如此���,值得記住的是���,混淆器每次使用時(shí)都會(huì)有效地創(chuàng)建新代碼�。這可能是“另一個(gè)銀行木馬”���,但并不是僅通過(guò)簽名檢測(cè)就可以輕松檢測(cè)到的木馬����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
