安全研究

研究报告
Blackmoon银行木马新样本 技术分析与防护方案

《Blackmoon银行木马新样本 技术分析与防护方案》内容介绍

一、综述

在2016年报道的盗取超过15万韩国用户银行信息的Blackmoon银行木马于2017年又被发现采用了全新的框架模式来对网络银行进行攻击,通过三个分开但又彼此联系的步骤来部署该木马,并进行后续的攻击。这与在2016年的以adware和exploit kits为传播方式的框架完全不同。


Blackmoon

早在2016年,Unit 42跟进并分析了一个专门针对韩国银行的网络恶意活动,并将之命名为“KRBanker”即“Blackmoon”。Blackmoon的攻击方式与传统的MITB模式不太相同,主要是采用“Pharming”的形式将用户重新定向到一个伪造的网站,从而骗取用户在冒充的页面输入的账户信息。伪造的网站IP通过利用QQ空间的API来传递,随后利用PAC(Proxy Auto-Config)与恶意的javascript来自动配置本地代理设置。用户在访问银行网站时,木马会检测该网站是否为攻击目标,如果是,就会将用户重新定向到伪造的网站,如果不是,则定向到正常的网站。


传播方式:

旧传播方式

2016年发现的Blackmoon样本均是以adware以及exploit kits(EK)模式来进行传播并感染用户机器。用来安装Blackmoon的EK叫做KaiXin,通过利用Adobe Flash的一些漏洞来传播安装木马。另一个传播途径是通过一个叫NEWSPOT的adware程序。用户安装了该程序后,通过该程序的update通道,Blackmoon木马会被下载到用户的机器上,随后木马会运行并且开始攻击。

新传播方式

Fidelis于2016年底至2017年初又发现了一个独特的三阶段框架,专门用来传播部署Blackmoon银行木马。 该框架通过按次序部署拥有不同但相关功能的组件来完成完整的Blackmoon木马的传播。Fidelis把这个框架称为Blackmoon下载器框架(如下图),包括初始下载器(Initial Downloader)字节下载器(Bytecode Downloader)以及KRDownloader。


二、样本技术分析

概述

此次事件与前几年针对韩国金融行业的木马BlackMoon有关,近日安全公司捕获了一系列新的样本,这些样本最终会下载BlackMoon到受害者的计算机中,BlackMoon目前只针对以韩语为计算机语言的目标,暂时并未发现涉及其他地区,在分析之后我们认为这些新样本是一套下载套件,并且是自动生成的,其下载链接非常有规律,应为同一时间生成的。


详细内容,请下载《Blackmoon银行木马新样本 技术分析与防护方案》

《Blackmoon银行木马新样本 技术分析与防护方案》下载

Blackmoon银行木马新样本 技术分析与防护方案


浏览次数:

关 闭