Eragayev和GadiOstrovsky两位安全研究人员一直专注于GootKit金融机构木马的科学研究。
2014年夏天,GootKit金融机构的木马被安全科学研究人员发现。从那以后,GootKit就一直被认为是黑客在网上行骗的专用工具,黑客也不会把它放到一些地下社区论坛上出售。此外,木马是由一个中小型黑客组织开发的,其资金被投入到“实际活动”中。GootKit木马因其强大的窃取数据信息、检测反安全软件、伪造客户浏览器的能力,被视为当今金融机构最具杀伤力的木马程序之一。黑客利用这种木马进行个人网银诈骗攻击。一般攻击的总体目标是一些欧洲金融机构的应用系统,从中窃取金融机构客户的账户信息。
纵观2016年的几起个人网银诈骗攻击,我们不会太难发现:黑客会利用GootKit的故意破坏,入侵部分零售客户的个人网银系统软件,窃取其个人身份认证信息内容;其他网络钓鱼技术被用来控制他们的个人网上银行系统软件。最后,这个黑客可以 *** 纵客户的网上银行账户,盗取里面资产账户的余额,转到自己设置的账户里卖脏。
除了上面详细描述的威胁之外,GootKit实际上是一个故意的木马,它可以使恶意软件隐形,并立即报告客户系统软件的动态。此外,它还可以执行动态互联网为主题的活动,如网页介绍攻击。黑客可以通过引入基于此类网页源代码的攻击,在受感染客户机器和设备的计算机浏览器中更改金融机构的主页。自从发现几起GootKit木马攻击都是由同一个黑客团队实施后,安全科学的研究者们得到了这样一个结果:这个黑客团队正在致力于改进GootKit木马,改进其隐藏系统,增强其躲避安全软件检测和欺诈的能力。
IBMX-Force的安全精英团队曾对GootKit木马进行过一次科学研究。他们在数据分析报告中强调,2016年6月,大家发现了三个关于GootKit木马的有趣修改。它们是:
1.增加了识别视频采集控制模块;
2.增强了系统检测vm虚拟机的能力;
3.为了避免保护软件的检查,设计并安装了总流程变更程序;
加快视频采集控制模块的加载速度;
X-Forceelite团队中专注于GootKit木马科学研究的研究人员表明,这一改进可能会减少从受感染的机器和设备中提取的视频的长度。此外,GootKit木马的开发者还会对这个程序模块进行一定程度的修饰。
直到最近最新版本出现,攻击手段有了新的改进。GootKit会使用这个控制模块来录制存储在被攻击客户桌面上的视频,并使用MP4文件格式将其传输到他们的应用程序C&c在网络服务器上。这种视频文件格式的长度已经减少,只保留了关键内容。
GootKit开发者选择的一个新格式文件是:。试管婴儿。开发人员一般使用Ligos公司的indeonumber视频解码器对。试管婴儿文件。在所有手机软件的开发设计全过程中,它看起来非常独特,尤其是因为。试管婴儿是一个历史悠久的格式化文件,所以我们必须选择那种方法,然后才能加密数据。由于这种数字视频解码器是一种无需硬件加速就能完成视频审查全过程的转码软件,给客户带来了极大的便利,因此在90年代非常流行。此后,一种新的标准文件格式将被取代。试管婴儿;;渐渐地,它渐渐淡出了大家的视线。但是,对于一些小视频。ivf文件格式也可以。黑客也是抱着同样的想法走到这一步的。当编译恶意程序时,他们通常更喜欢。试管婴儿文件。因为这种文件格式可以避开当代大多数防护软件的检查,可以避免黑客使用的网络服务器的数据泄露。
一旦GootKit获得了。ivf文件格式,它会把文件压缩成。izma文件格式,所以作为一个中小型文件,它可以保证视频的帧度得到保持。Lzma文件格式的压缩包和zip文件格式的压缩包有一个共同点:都可以减少数据信息的存储量来节省存储时间空。众所周知,lzma压缩法与其他压缩方法相比,可以节省大量缓解压力的时间。这种文件格式的文档通常用于基于Unix的计算机 *** 作系统。
GootKit的“优势”:避免检测服务
GootKit尽可能的避开系统软件保护软件的检查,这是开发这类恶意程序时必须考虑的关键。GootKit往往会成为时下杀伤力极大的恶意程序之一,尤其是因为开发者加入了强大的NDT规避技术和自身的安全系数。
来自X-Forceelite团队的研究人员表明,GootKit开发人员已经为GootKit产品开发了一个更强的维护控制模块,以避免安全人员的监督。在最新版本的GootKit中,我们可以随便找这个控制模块。
使用vm虚拟机检测系统:
第一阶段:GootKit的滴管检查
在GootKit的合理负载配备之前,GootKit的病原体释放系统会进行vm虚拟机验证的第一步。系统将检查系统软件中的windows注册表文件,并找到具有特殊名称的网络服务器。
接下来,Dropper系统将检查vm的资源及其注册表文件中的主要参数。比如它会对系统的BIOS系统软件(基本输入输出系统)进行监控,寻找一些可以证明系统软件装有vm虚拟机的案例线索。包括:阿米;;BOCHSVBOXQEMUSMCI;英特尔-6040000;FTNT-1及其SONI等。
接下来就是检查设备的MAC地址,寻找可以证明某个连接点是vm虚拟机的连接点的案例线索。
如果在该过程后仍然没有找到vm虚拟机,GootKit将获得一个标识符来提醒系统软件没有安装虚拟机,并退出检查。将来,这些信息内容将被传送到C&在网络服务器C上,僵尸系统的控制端收到这个信息后会采取行动,比如将这个连接点列入黑名单。
如果成功测试到vm虚拟机,那么dropper会立即释放GootKit的压力,在被感染的连接点上部署攻击控制模块,开始攻击。
第二阶段:GootKit木马检查
GootKit部署攻击控制模块后,会再次重复一些原来的测试,并添加新的测试方法。例如,改进BIOS注册表文件的验证。它会检查CPU设置的授权管理中的信息内容,任何异常的机器名都会让GootKit发出一个VM标识符。经常进行这种检查是因为CPU授权管理中vm虚拟机的表标签名与其他物理机名不同,所以非常容易识别。
这个与CPU相关的认证信息内容不是唯一的。2015年上半年,出现了一个名为Dyre的网银木马。在安装之前,它会检查整体目标机器和设备的CPU,并找到系统软件安装的vm虚拟机来存储信息内容。因为vm虚拟机以一个内核运行,所以它不同于以两个内核运行的其他客户端PC。
接下来,GootKit可能会检查整个目标机器的IDE/SCSI计算机硬盘驱动程序软件。GootKit开发者设置不同知名品牌的vm虚拟机(如VMWare、VBOX、SONI等。)编程序手机软件的时候。这种vm虚拟机采用嵌入式安装方式,不容易被发现。但对于GootKit来说,这非常容易,它可以高效地检查物理机程序流或vm虚拟机程序流是否运行在整体目标机上。
GootKit好像不一样。
为了保证攻击过程能够顺利进行,黑客不断对这种恶意程序进行创新:在保持原有可靠性的同时,还根据防护软件添加了安全签名检查集。
最近对GootKit的修改就是引入了对文件属性和恶意程序的全流程修改。
比如:1。在SVCHOST.EXE的程序流中引入恶意程序加载程序流;
2恶意程序存储为DLL文件:
当代很多针对金融机构应用系统的故意木马(包括Gootkit)都是以可执行程序的形式存在的。大部分都是按照滴管系统引入整体目标机器设备。然而最近黑客改变了GootKit的文档方式,它不再是exe文件。在整个过程中,它只承担给被感染的机器添加一个DLL文件。
这是下一个要做的更改。基本上,所有金融机构中的木马都会在explore程序进程中引入恶意程序,而GootKit则会在服务器中引入代码。
虽然这两种方法都很常见,但它们都可以攻击。但是按照在GootKit中引入DLL的方法(整个实现过程中可以 *** 作几种情况),可以随便避开保护软件的检查。与GootKit相比,Explorer.exe在整个实施过程中只有一个案例。
转化系统
GootKit的另一个附加功能是持久性系统。保护软件和恶意程序之间的关系是鱼死网破。一个要生存,一个要治病。过去,GootKit的连续性是通过将手机软件名包含在系统软件的shell程序进程注册表文件中来获得应用管理权限来完成的。当该账户登录到被感染的机器时,GootKit被隐藏在系统软件中。这是Dyre之前使用的方法:系统软件会把安装这个恶意程序作为系统软件的一个常规工作。
在新创作的整个过程中,GootKit提出了两个连续性选项:
第一,当GootKit以最少的客户应用管理权限(LUA)安装时,GootKit会找一个系统软件的日常任务来保护它。这项日常任务的每一分钟都将被强制执行,类似于看门狗程序。GootKit会在病毒扫描、系统升级等安全流程后运行。
GootKit系统软件在被授予访问权限时,可以引入自己内置的恶意程序,系统软件会将其视为Windows呈现的服务项目。这种方式的一大好处是,可以在账户登录机器前运行,但在客户关闭账户后仍然运行。这样无论是GootKit还是其他木马,这种 *** 作方法都可以保证木马程序进程的连续性。
为这种“服务项目”选择的名称是任意的,以便绕过保护软件的检查。
意向文件中显示的“服务项目”的特征如下:
结果
GootKit是一个有持续发展趋势的恶意程序。开发者往往会改变它的回避系统和连续性系统,使其越来越复杂,从而保证木马能有很强的杀伤力。木马中的滴管系统一般利用一些知名的渗透工具(Neutrino和Angler,可以渗透一些有系统漏洞的系统软件)将恶意程序引入客户的智能终端。
根据对GootKit的环境变量的分析,X-Force精英团队的科研人员发现,这种故意木马主要针对荷兰和美国的金融机构,也包括西班牙和意大利的金融机构。分析还显示,日本一些有连接点的银行也遭到了此类木马的攻击。这似乎是一种粗心大意,因为黑客仍然把目光锁定在欧洲国家的金融机构。
一般来说,GootKit的攻击范围只是在相对有限的区域。GootKit占全球金融机构特洛伊木马攻击的4%。
IBMX-Force精英团队希望看到GootKit再次前进。另外,IBM企业的安全科研人员会给一些金融机构和被GootKit木马攻击的机构进行具体的安全指导,让他们掌握这种木马的威胁。
为了更好地降低GootKit产生的安全威胁,金融机构和一些互联网服务提供商可以选择一些适合自己互联网的恶意程序检测方案。他们还可以应用一些可以即时显示电信诈骗木马状态的技术,告诉客户自己的安全状态,进一步维护客户信息的安全,进而改变这类故意木马的猖獗布局。
作为客户,要想防止恶意程序的感觉,一定要自动更新自己的系统软件和常用的系统软件,删除这些长期不需要的手机软件,避免木马的感觉。培养良好的访问习惯:不必访问网页广告,以及一些容易被黑客利用为感染源的敏感网站。
此外,由于黑客通常会将GootKit及其关闭的金融机构木马作为附件存储在电子邮箱中,然后采用推送电子邮箱的方式传播故意木马,因此不一定要点击一些带有附加链接的网址。另外,不一定要打开一些不请自来的陌生邮件,这些邮件中通常隐藏着高危木马程序流。
根据MD5,不安全信息的编码顺序如下:
IBMX-Force安全科学研究精英团队会在X-Force交流互动平台上不断升级一些GootKit信息及其相对的防范措施。现在添加XFE服务平台,可以掌握很多关于GootKit木马等互联网攻击的科研成果。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)