俄罗斯浮现新型银行木马silence,或与carbanak有关-尊龙凯时官方旗舰店

产品咨询:4000 258 365 | 申请产品演示 |
尊龙凯时官方旗舰店
您当前的位置 : 尊龙凯时官方旗舰店 > 技术博客 > 安全资讯
内容中心
按关键字查找
热门文章

俄网络安全公司发现包含2亿微博和推特用户信息的数据库

免费图像网站freepik披露数据泄露事件 影响830万用户

谷歌已宣布对其隐私和安全工具进行两项重大改进

twitter数据泄露案存分歧 欧盟或推迟对科技巨头隐私调查

app自动打开摄像头麦克风问题频发 互联网时代如何保护隐私?

颇受欢迎的智能音箱,存在诸多安全隐私问题

涉嫌隐瞒数据泄露 优步前安全主管被控妨碍司法公正

谷歌回应安卓将限制第三方相机应用:担心位置信息泄露

南非信贷公司发生大规模数据泄露事件,填补漏洞花了三个月

加拿大税务网站被攻击 黑客入侵账户给自己发救济金

热门标签
俄罗斯浮现新型银行木马silence,或与carbanak有关
作者:freebuf.com 发布时间:2017-11-07

近日,卡巴斯基实验室的研究人员发现了一种新型木马——silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。

卡巴斯基的 great 调查小组表示:

2017 年 9 月,我们发现了一种专门针对金融机构的网络攻击,受害者大多集中在俄罗斯银行。攻击者使用了一种十分有效的技术来窃取银行资金:长期访问银行内网,监控职员日常工作,了解银行内部的运作过程和日常软件,然后利用这些信息窃取更多的钱。
虽然没有直接线索将该木马和臭名昭著的 carbanak 组织(该组织专门对银行进行网络攻击)联系在一起,但攻击者的作案手法和 carbanak 类似。从这点上可以看出,silence 很可能是 carbanak 的故技重施,或是别的组织在看了安全公司对 carbanak 的技术分析后,仿效了这次攻击。

silence 攻击是如何发生的

研究人员对整个攻击事件进行了还原,发现最初的攻击手段很常见,攻击者首先拿到了银行雇员的电子邮箱账号。(有可能是使用了恶意软件,也有可是使用了以前网上泄露的账号密码。)

silence 利用银行员工的账户向其他银行同事发送钓鱼软件。目的是为了找出哪些人可以访问银行管理系统。

钓鱼邮件

这些邮件包含 chm 附件(编译后的 html 文件)。如果受害者下载并打开了这些附件,chm 文件就会运行一段 javascript 代码,并下载恶意程序执行第一阶段的 playload。

chm 格式文件:

chm是英语“compiled help manual”的简写,即“已编译的帮助文件”。chm是微软新一代的帮助文件格式,利用html作源文,把帮助内容以类似数据库的形式编译储存。

chm文件格式是微软1998年推出的基于html文件特性的帮助文件系统,以替代早先的winhelp帮助系统,它在windows 98中把chm类型文件称作“已编译的html帮助文件”。被ie浏览器支持的javascript、vbscript、activex、java applet、flash、常见图形文件(gif、jpeg、png)、音频视频文件(mid、wav、avi)等等,chm同样支持,并可以通过url与internet联系在一起。
研究人员表示该恶意程序是一个“dropper”,它是一个 win32 可执行程序,可以将受害者电脑中的数据发送到攻击者的 c&c 服务器上。

silence 工作原理:不断截屏,记录受害者电脑工作情况

如果攻击者认为受感染 pc 有利用价值,他们就会发送第二阶段的 playload——silence 木马,它的主要功能就是不断截屏受害者的电脑桌面。

这些截图的拍摄间隔很短,然后会上传到 c&c 服务器上,这样就创建了一个可以监视员工活动的伪视频流。

c&c ip

攻击者之所以选择屏幕截图这样的方式,而不录制实际的视频, 好处在于这样可以利用较少的 pc 资源,这样就很难检测到它,这也是 silence 名字的缘由。

然后攻击者可以查看这些截图,从中寻找他们可以进一步利用的信息,比如银行内网资金管理系统后台网页 url,可以利用的本地应用程序,或者审视银行内网电脑的大致情况。

研究人员表示,攻击者在整个过程的后半段,利用的是合法的 windows 管理工具在后台运行,成功隐藏了自己行踪,而这正是 carbanak 以前使用过的技术。

此之后的攻击细节,卡巴斯基没有透露,而涉及哪些银行,偷走了多少钱,也没有透露。

这些银行劫匪越来越有“创意”

silence 出现标志着犯罪分子已经将攻击目标从普通用户转向了银行,因为对比用户来说,银行能窃取的钱要更多。随着越来越“高级”的银行网络抢劫事件的发生,这种趋势越来越明显,无论银行的安全架构多么完善,攻击者悄悄行事的“作风”还是令人担忧。

针对俄罗斯银行的网络攻击,silence 已经不是第一次了。早在以前,trustwave spiderlabs 就发现了另外一个黑客组织,使用“overdraft” 技术来攻击银行,从几个东欧金融机构窃取了 4000 万美元。

而 carbanak 以前的活动还使用过 google 合法服务(google apps script, google sheets, 和 google forms )部署 c&c 服务器,并诱骗银行尊龙凯时官方旗舰店的技术支持部门员工打开含有恶意软件的文档。而这些员工的电脑在后续的侦测数据和直接攻击中起到了关键作用。

silence 木马更详细的技术分析,iocs,可移步卡巴斯基发布的报告。

参考链接:

https://www.bleepingcomputer.com/news/security/-silence-trojan-records-pseudo-videos-of-bank-pcs-to-aid-bank-cyber-heists/

http://www.securityweek.com/new-silence-trojan-used-ongoing-bank-attacks

http://securityaffairs.co/wordpress/65061/cyber-crime/silence-group-bank-attacks.html

*本文作者:liki,来自 freebuf.com


免费售前咨询
4000 258 365
北京安华金和科技有限公司 ©2019 尊龙凯时官方旗舰店的版权所有 京公网安备11010802010569号
网站地图