「股票实时数据」惊现一款攻击金融机构的新型木马Silence

一、前语

2017年9月，咱们发现了针对金融安排的新式进犯活动，受害者大多为俄罗斯银行，但咱们发现马拉西亚及亚美尼亚的某些安排相同被进犯者攻陷。进犯者运用了一种已知的但仍行之有用的技术来牟取金钱：他们先是取得银行内部络的长时刻拜访权限，录制银行职工个人电脑的日常活动轨道，学习方针银行的作业流程、所运用的软件，全部准备就绪后，就运用这些常识盗取尽或许多的金钱。

之前咱们在Carbanak以及其他相似事情中也看过这种技术办法。进犯者凭仗带有歹意附件的渔叉式垂钓邮件成功感染方针。在Silence进犯事情中，风趣的是进犯者事前现已攻陷一些银行安排的基础设施，运用实在银行雇员的地址发送渔叉式垂钓邮件，最大或许下降受害者对这些邮件的置疑程度。

现在这类进犯活动仍在持续进行中。

二、技术细节

进犯第一步，犯罪分子经过Silence木马发送垂钓邮件，他们通常会运用已感染的金融安排职工的实在地址，邮件主题是恳求在方针银行中开设账户。这种主题看上去十分正常，运用这种社会工程学技巧，收件方很难置疑邮件的实在意图：

图1.运用俄语编写的垂钓邮件

2.1歹意.chm附件

样本信息如下：

md5：dde658eb388512ee9f4f31f0f027a7df

类型：Windows帮助文件（.chm文件）

在这波进犯浪潮中，咱们检测到了一个CHM（MicrosoftCompiledHTMLHelp）文件样本。这种文件是微软专有的在线帮助文件，由许多HTML页面、索引以及其他导航东西组成。这些文件经过紧缩后存为二进制格局，运用.CHM（compiledHTML）作为文件扩展名。这些文件具有很高的互动性，支撑包含JavaScript在内的一些技术，运用这些技术，受害者在翻开CHM文件后就会被重定向到外部URL地址。因而，进犯者会运用CHM文件完结歹意载荷的主动运转。当受害者翻开附件后，内嵌的.htm文件（“start.htm”）就会履行。样本文件中包含JavaScript载荷，其方针是从一个硬编码的URL地址处下载并履行其他阶段的载荷。

图2.内置的start.htm文件的部分内容

这个脚本的功用是下载并履行一个经过混杂的.VBS脚本，后者会持续下载并履行终究的开释器（dropper）。

图3.经过混杂的VBS脚本，具有二进制程序下载功用

2.2开释器

开释器样本信息如下：

md5：404D69C8B74D375522B9AFE90072A1F4

编译时刻：2017年10月12日02:53:12

文件类型：Win32可履行文件

开释器是一个win32可履行文件，其主要功用是与指令操控（C&C）服务器通讯，将被感染主机的ID发送给服务器，一起下载并履行歹意载荷。

开释器运转后会经过GET恳求衔接C&C，发送已生成的受害者ID，下载歹意载荷，然后运用CreateProcess函数履行歹意载荷。

图4.运用受害者ID衔接C&C服务器

图5.C&C衔接进程

2.3载荷

进犯者所运用的载荷包含各种模块，这些模块可以在已感染的主机上履行各种使命，比方屏幕录制、数据上传等等。

咱们辨认出的一切载荷都以Windows服务办法运转。

2.3.1监控及操控模块

模块信息：

md5：242b471bae5ef9b4de8019781e553b85

编译时刻：2016年7月19日15:35:17

模块类型：Windows服务可履行文件

该模块的主要使命是监控受害者的活动轨道。为了完结这一使命，该模块会屡次截取受害者的其时屏幕视图，这种伪视频流办法可以让进犯者监控一切受害者的活动轨道。相似的技术也出现在Carbanak事例中，其时进犯者运用这种监控技术来了解受害者的日常活动。

该模块会注册为Windows服务，以服务办法运转，服务名为“Defaultmonitor”。

图6.歹意服务模块名

初始发动完结后，该模块会创立一个Windows命名管道，管道名（.pipe）已事前硬编码在模块中。不同歹意模块会运用该管道完结进程间通讯。

图7.创立命名管道

歹意软件解密一段数据块，并将解密后的数据保存为二进制文件，文件名为硬编码的“mss.exe”字符串，保存途径为Windows暂时目录，随后，歹意软件运用CreateProcessAsUserA函数运转该文件。开释出来的这个二进制文件是担任实时捕捉屏幕活动的歹意模块。

随后，该监控模块会等候新开释的模块运转，以便运用命名管道与其他模块同享搜集到的数据。

2.3.2屏幕活动搜集模块

模块信息：

模块类型：Windows32位可履行文件

这个模块一起用到了Windows图形设备接口（GraphicsDeviceInterface，GDI）以及WindowsAPI来记载受害者的屏幕活动轨道，详细运用的是CreateCompatibleBitmap以及GdipCreateBitmapFromHBITMAP函数。随后，该模块衔接到上一个模块创立的命名管道并将数据写入管道中。运用该技术，进犯者可以将搜集到的一切位图结合起来，构成受害者活动轨道的伪视频流。

图8.将位图数据写入管道中

2.3.3C&C通讯模块

模块信息：

md5：6A246FA30BC8CD092DE3806AE3D7FC49

编译时刻：2017年6月8日03:28:44

与其他一切模块相同，C&C通讯模块相同以Windows服务形状来运转。该模块的主要功用是树立回连受害主机的拜访通道，运用操控台指令履行服务器指令。服务初始化结束后，歹意模块会解密运转所需的WindowsAPI函数名，运用LoadLibrary加载这些函数，然后运用GetProcAddress函数解析这些API的详细地址。

图9.解析WinAPI函数

成功加载WinAPI函数后，歹意软件会测验衔接C&C服务器，服务器地址为硬编码的IP地址（185.161.209[.]81）。

图10.C&CIP地址

歹意软件会往指令服务器发送带有ID信息的一个特别恳求，然后等候服务器呼应，呼应中包含一个字符串，歹意软件会依据该字符串履行详细的操作，这些操作包含：

“htrjyytrn”，音译过来为“reconnect”（俄语中对应“реконнект”）。

“htcnfhn”，音译过来为“restart”（俄语中对应“рестарт”）。

“ytnpflfybq”，音译过来为“нетзаданий”，即“notasks”（无使命）。

终究，歹意软件会收到指令，履行操控台指令。歹意软件以详细指令为参数创立一个新的cmd.exe进程来完结指令履行使命。

图11.查看指令

经过这种办法，进犯者只需要运用“sccreate”操控台指令，就可以恣意装置其他歹意模块。

2.3.4Winexecsvc东西

东西信息：

md5：0B67E662D2FD348B5360ECAC6943D69C

编译时刻：5月18日03:58:26

类型：Windows64位可履行文件

此外，在被感染的某些核算机上，咱们还发现一款名为Winexesvctool的东西。这款东西供给的功用与闻名的“psexec”东西相似，最主要的差异在于，根据Linux的操作体系可以经过Winexesvc东西履行长途指令。当Linux程序“winexe”以某个Windows服务器为方针运转时，方针服务器上就会生成winexesvc.exe程序，而且该程序会以体系服务形状运转。

三、总结

进犯金融安排仍是络犯罪分子大发横财的一种十分有用的途径。剖析这次进犯事情，咱们看到了一款新的木马，而且这款木马显着已在多个国家区域中运用过，这表明这个进犯安排的举动规划正在不断扩大。这款木马供给的监控功用与Carbanak安排具有的功用相似。

该安排在后续进犯阶段中会运用合法的管理东西在方针环境中大肆横行，这也使歹意行为的检测及溯源变得更为杂乱。最近几年来，这类进犯规划不断增大，这种趋势反响了犯罪分子的进犯行之有用，令人担忧。咱们会持续监督这个新式安排的犯罪活动。

现在渔叉式垂钓进犯办法仍是施行针对性进犯的最常见办法。在已被攻陷的基础设施的基础上，结合运用.chm附件，垂钓进犯的传达作用会愈加有用，至少此次金融安排被进犯便是典型的事例。

四、主张

咱们可以运用防备型高档检测功用来有用维护用户免受针对金融安排的歹意进犯，这种功用可以从更深层次检测用户体系上各种类型的可疑文件。卡巴斯基反针对性进犯处理计划（KATA）可以匹配来自不同等级基础设施的事情，辨认并相关其间的反常事情，终究会聚构成归纳安全事情，与此一起也会运用沙箱化技术在安全环境中研讨相关部件。与大多数卡巴斯基产品相同，KATA由人工智能（HuMachineIntelligence）供给技术支撑，这项技术离不开机器学习、专业常识的实时剖析以及咱们对要挟情报大数据的深化了解。

想要阻挠进犯者发现和运用安全缝隙，最佳办法是彻底消除缝隙，其间也包含由于不妥体系配置或许专用使用程序过错导致的安全缝隙。为了完结这个意图，咱们可以运用卡巴斯基浸透测验及使用安全评价服务这个便利且高效的处理计划，该计划不只可以供给已发现缝隙的相关数据，也能给出怎么处理这些缝隙的详细办法，进一步加强企业本身安全。

五、IOC

卡巴斯基实验室产品将Silence木马标记为如下类别：

Backdoor.Win32.Agent.dpke

Backdoor.Win32.Agent.dpiz

Trojan.Win32.Agentb.bwnk

Trojan.Win32.Agentb.bwni

Trojan-Downloader.JS.Agent.ocr

HEUR:Trojan.Win32.Generic

完好的IOC以及YARA规矩会经过私家陈述订阅服务供给。

样本MD5值如下：

Dde658eb388512ee9f4f31f0f027a7df

404d69c8b74d375522b9afe90072a1f4

15e1f3ce379c620df129b572e76e273f

D2c7589d9f9ec7a01c10e79362dd400c

1b17531e00cfc7851d9d1400b9db7323

242b471bae5ef9b4de8019781e553b85

324D52A4175722A7850D8D44B559F98D

6a246fa30bc8cd092de3806ae3d7fc49

B43f65492f2f374c86998bd8ed39bfdd

cfffc5a0e5bdc87ab11b75ec8a6715a4