感染韩国网站的银行恶意软件分析


发布人:admin分类:网络安全浏览量:31发布时间:2017-12-12

2015年9月18日我们在网站koreatimes.com 上捕捉到一个恶意二进制代码,进一步调查发现这是个专门针对韩国网站及韩国银行的恶意活动。

通过查看今年的日志我们发现了更多受到感染的韩国网站:

filehon.com  (2015.5.30)
joara.com  (2015.5.3)
hometax.go.kr  (2015.5.3)
soriaudio.co.kr  (2015.4.23)
gomsee.com  (2015.3.16)
lottoplay.co.kr  (2015.2.6)
insight.co.kr  (2015.1.31)
filecity.co.kr  (2015.1.23)
nggol.com  (2015.1.6)
koreamanse.com  (2015.1.6)

我们所得到payload是通过修改受到感染的系统主机文件将韩国银行的流量重定向到控制服务器。这就意味着攻击者可以在用户不知情的情况下构建一个网络钓鱼网站,诱导用户上钩。同时韩国知名网络安全公司Ahnlab也是攻击目标。

感染流

感染网站

以下的分析将主要集中在发生于网站koreatimes.com 的感染过程。罪魁祸首是一个名为“2013_gnb.js”的javascript文件,实则为一个指向KaiXin EK登录页的iframe注入。

利用的漏洞,如下:

CVE-2014-6332 (IE)
CVE-2011-3544 (Java)
CVE-2015-0336 (flash)

我们在flash文件中发现了有趣的字符串,这让我们更好地了解攻击者是如何利用exp进行攻击。另外在flash文件中还发现了像是作者签名的字符串,“King Lich V”。这个字符串同样被发现存在于其他几起攻击当中。Flash文件同样都是用DoSWF包装的。

一旦利用安装完成,它有两个选项来执行payload。如果它在Win 7或者Win8系统中运行,它便会执行powershell脚本从199[.]188[.]106[.]161下载可执行文件。

否则,它会执行从www[.]jfkdsajfk5263[.]com/server[.]jpg下载的脚本,而前者本质上是用于绕过DEP。

这个下载的二进制是银行恶意软件后门家族Venik的功能。

后门Venik

“Venik”在俄语当中意为扫帚。

这个下载的二进制实际上在C盘任意名称例如“c:\tqcsv\krxxc.rxk”文件夹中安装一个dll文件。然后运行dll文件:

·“%system32%\rundll32.exe” “c:\tqcsv\krxxc.rxk”,开始。

创建mutex (M142.0.137.66:3201)以及建立自动启动键,例如:

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
· EvtMgr – “c:\windows\system32\rundll32.exe “c:\tqcsv\krxxc.rxk”,Start”

安装完成后,它开始“联系”以下网址:

· http://142[.]0[.]137[.]68:803
· http://142[.]0[.]137[.]67:805/index.php

同时使用TCP端口3201打开一个去142.0.137.66的链接,然后等待来自服务器的指令。服务器发出一个命令,便可从受感染客户端启动远程访问服务。

它还收集了%ProgramFiles%文件夹中的文件和映射驱动器。将文件复制到C盘的一个随意文件上,并使用HTTP会话将文件上传到服务器。

它修改了主机文件(%system32%\drivers\etc\hosts),有效地将访问银行网站的用户重定向到攻击者控制的网站,也就是钓鱼网站:

142.0.137.199 www.shinhan.com.or
142.0.137.199 search.daum.net
142.0.137.199 search.naver.com
142.0.137.199 www.kbstar.com.or
142.0.137.199 www.knbank.vo.kr
142.0.137.199 openbank.cu.vo.kr
142.0.137.199 www.busanbank.vo.kr
142.0.137.199 www.nonghyup.com.or
142.0.137.199 www.shinhan.ccm
142.0.137.199 www.wooribank.com.or
142.0.137.199 www.hanabank.ccm
142.0.137.199 www.epostbank.go.kr.or
142.0.137.199 www.ibk.co.kr.or
142.0.137.199 www.ibk.vo.kr
142.0.137.199 www.keb.co.kr.or
142.0.137.199 www.kfcc.co.kr.or
142.0.137.199 www.lottirich.co.ir
142.0.137.199 www.nlotto.co.ir
142.0.137.199 www.gmarket.net
142.0.137.199 nate.com
142.0.137.199 www.nate.com
142.0.137.199 daum.com
142.0.137.199 www.daum.net
142.0.137.199 daum.net
142.0.137.199 www.zum.com
142.0.137.199 zum.com
142.0.137.199 naver.com
142.0.137.199 www.nonghyup.com
142.0.137.199 www.naver.com
142.0.137.199
142.0.137.199 www.nate.net
142.0.137.199 hanmail.net
142.0.137.199 www.hanmail.net
142.0.137.199 www.hanacbs.com
142.0.137.199 www.kfcc.co.kr
142.0.137.199 www.kfcc.vo.kr
142.0.137.199 www.daum.net
142.0.137.199 daum.net
142.0.137.199 www.kbstir.com
142.0.137.199 www.nonghuyp.com
142.0.137.199 www.shinhon.com
142.0.137.199 www.wooribank.com
142.0.137.199 www.ibk.co.kr
142.0.137.199 www.epostbenk.go.kr
142.0.137.199 www.keb.co.kr
142.0.137.199 www.citibank.co.kr.or
142.0.137.199 www.citibank.vo.kr
142.0.137.199 www.standardchartered.co.kr.or
142.0.137.199 www.standardchartered.vo.kr
142.0.137.199 www.suhyup-bank.com.or
142.0.137.199 www.suhyup-bank.com
142.0.137.199 www.kjbank.com.or
142.0.137.199 www.kjbank.com
142.0.137.199 openbank.cu.co.kr.or
142.0.137.199 openbank.cu.co.kr
142.0.137.199 www.knbank.co.kr.or
142.0.137.199 www.knbank.co.kr
142.0.137.199 www.busanbank.co.kr.or
142.0.137.199 www.busanbank.co.ir
142.0.137.199 www.suhyup-bank.com
142.0.137.199 www.suhyup-bank.ccm
142.0.137.199 www.standardchartered.co.kr

主机文件修改

网络钓鱼通常索要的个人敏感信息是一个正常的银行网站不会提及的。

同时它还多次要求用户访问其他网上银行,这些都是可以转向钓鱼网站的。当网络钓鱼暂时无法在一个银行实施时,会出现这样的情况。

这个攻击同时针对了韩国的其他服务器,它曾试图禁用Ahnlab相关文件和进程。Ahnlab是韩国的一个非常流行的杀毒软件。

截止9月25日,我们已核实koreatimes.com恢复正常,不受感染影响。

相关样本

感谢Alex Burt对发现此项感染做出的贡献。

*参考来源:cyphort,转载需注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21348837(PV) 页面执行时间:72.285(MS)
  • xml
  • 网站地图