前情提要
上一篇中,我们讲述了2016年金融威胁的概况、主要威胁发现,重点阐述了有针对性的金融抢劫事件背后的几个主要犯罪组织,另外还介绍了部分金融恶意软件在感染、流行性和传播方面的一些特征。本文继续为大家讲解金融威胁的分布特征,以及原文报告的第三部分:TTP 相关的内容。
地理分布
每个国家检测到的金融威胁数量,很大程度上取决于黑客组织及其活动的时间段。某些威胁有一个非常狭窄的地理位置上的焦点,并非在全球各地大范围的分布。而有一些组织的活动路线是跨越国度的。
在分析每个国家的金融威胁分布时,有两个比较突出的趋势:一是,发生在日本的金融威胁很多,2016年日本检测到的威胁数量增加了至少11倍,是全球受到金融威胁攻击最多的国家。二是,针对美国的袭击减少了26%,2016年排名第四位。
当然,金融威胁时一个全球性的问题,没有哪个国家是真正安全的。娇小的国家可能不会达到Top10的量级,但相对于其人口基数,风险仍然是巨大的。例如,IBM报告中提到2016年11月发生的Dridex攻击波,主要集中在拉脱维亚,这是一个在过去几乎没有受到过金融威胁重视的国家。
以日本为焦点的金融木马
在2015年的金融威胁报告中,我们就已经看到了针对日本的威胁高峰,并预测这个趋势将继续。2016年我们检测到更多的金融威胁发生在亚洲地区,包括日本、中国、印度、菲律宾和越南都在Top10之列。这表明,攻击者正在试图向这些较少受到保护的地区扩展。
我们观察到Bebloh 和 Snifula 尤其关注在日本的金融目标。检测到Bebloh 在全球所有的攻击中,有超过90%的活动发生在日本。2016年1月份,Snifula在美国的活动比率占30%,然而下半年它转移了焦点,90%的活动被检测到发生在日本。目前还不清楚这一转变的具体原因。
在日本,至少有19家金融机构成为了Snifula 和 Bebloh 的攻击目标。这也是一件有趣的事,这两个恶意软件家族似乎使用了同样的web注入和相同的攻击目标列表。
不妨来单独分析一下这两类恶意软件。2016年Bebloh在日本的检测量占据了全球所有检测量的47%,其中2016年1月份五个最活跃的样本共计占全球所有检测量的93%,这五个样本在日本全年检测中共计占90%,到2016年12月,相同的五个样本依然占了全球所有检测量的0.6%。这表明攻击者改变样本的频率并不频繁,而且在运行最终载荷时并没有部署复杂的多样的软件包。
所有这些样本经常使用双重扩展文件名,伪装成扫描文件通过电子邮件的附件形式进行传播,如下所示:
| scan(2).doc.2016.01.20.PDF.exe
| scan01_doc_2015~jpeg.jpeg.exe
| IMAGE(1).15_02_2016_PDF_PNG.PDF.EXE
| image_n_(1) 20160217_PNG,PDF.png.exe
Snifula的情况比较类似,2016年12月,排名前五的Snifula样本共计占全球所有检测量的94%。与Bebloh相似,这些样本也通过垃圾邮件进行传播,经常使用如下的双重扩展文件名:
| MX_20161031_1530380.JPG.exe
| 43894370932861.html.exe
| IMG_20161020_095456~1.jpg.exe
| ID654093871066.PDF.EXE
正如前面所讨论的,由于司法介入,Bebloh 和 Snifula在2017年初的检测量大幅下降。
样本配置文件与其分布的关系
我们分析了Dridex的三个样本,它们具有相同的配置文件,很有可能是来自相同的垃圾邮件活动,这个过程中,我们发现一些有趣的现象:这些恶意软件具有相同的目标,分别是德国的16个金融网站和奥地利的10个金融网站。比照我们之前发现的这些样本活跃度最高的五个国家,这里揭示了一个有趣的模式,它们中只有一个与德国和奥地利的关联性最强,这些样本同样在美国被检测到了,可能是由于VPN或互联网供应商使用了美国的IP地址,不过这个解释却无法适用在样本同样活跃的另外两个地区(以色列和菲律宾)。由此可见,攻击并不想我们预想的那么有针对性,这大概与恶意软件所选择的垃圾邮件的传播模式有关。当然了,Dridex 的三个样本并不能代表数以千计的垃圾邮件运行的轨迹,不过我们对更多的样本进行观察,结果与上述结论是符合的。这就凸显了,影响样本传播的因素取决于样本背后的威胁家族和犯罪集团,正如我们前边讨论过的,一些 Bebloh 变种的目标基本上全部在日本地区,而 Dridex 样本的分布范围比较广泛。
分析目标机构
2016年,我们观察到很多犯罪组织集中活动在特定的地理位置,因此某些威胁可能没有造成全球范围的影响里,但是在较小的市场范围内它们的活跃度很高。
我们对4个威胁家族(分别是:Dridex, Snifula, Panda Banker /Trojan.Exedapan, 和 Trickbot /Trojan. Trickybot)的684个样本进行了分析,它们一共涉及了301个URL地址,覆盖了17个国家的132个机构。选择这些样本普遍关注的地区,美国居于首位,大概79%的攻击中都至少包含了一个美国的金融机构;其次是波兰和日本。平均而言,每个样本针对37个不同的金融机构。
不过,难以琢磨的是,针对银行和国家的目标列表与网络犯罪分子的垃圾邮件活动关系密切。一个国家可能在上个月还榜首有名,在下个月却排在了20名之后。我们曾经观察到一个攻击波,犯罪分子的攻击目标在一夜之间从澳大利亚和新西兰变到了德国和美国。
此外,我们还注意到这些威胁活动的一个趋势:对流量进行完全的重定向,或者从远程服务器动态注入。这些恶意样本会重定向所有访问过的网站,只要网址中包括“bank”字样,这就意味着这些恶意软件不会在客户端保存一个完整的配置文件,为研究人员的工作增加了挑战。
除此之外,我们还看到一些恶意软件的作者会完全隐藏恶意代码的植入。以前金融木马的配置文件中总是会包含一个加密文件用于存储感兴趣的目标站点的列表信息,然而,我们已经到到新的Blackmoon (Infostealer.Boyapki.E) 的变种只存储了URLSHA1值9(使用了一个独特盐值处理过),这使得攻击人员几乎不可能重建一个完整的目标网站列表。
然而,分析所有这些样本,根据流行度进行分类,我们看到总部设在澳大利亚的四家银行占了所有这些样本的38%,它们是我们收集到的样本集里最受攻击者关注的金融机构。
移动端的威胁活动在各个国家的分布情况略有不同,以Android.Fakebank.B样本为例,它的目标包括了24个国家的169个不同的APP,目标机构总数居于首位的是美国,有29个金融机构受到影响;其实是土耳其和法国。
战术、技术和程序(TTP)
大多数金融木马会部署一套通用的模块来实施各种任务,如截图、录像、键盘记录、表单抓取、或者安装SOCKS 代理、利用远程访问工具来隐藏VNC服务器。许多攻击者会使用免费的SSL证书来保护他们的基础设施。一些Snifula (又称为 Vawtrak ) 甚至在其C&C服务器上使用了SSL协议进行通信,用以逃避监控。
当前的恶意软件经常会部署各种反调试的技巧,这无疑增强了对它们进行分析的难度。
使用Process hollowing技术注入系统进程仍然是恶意软件作者们常用的一个策略,另外利用动态API解析和检测用户态钩子的方法也常常被用于绕过安全工具的检测。
源代码的融合
金融恶意软件生态系统在不断的进化中。除了已经形成了一种服务模式之外,网络罪犯进入这一领域的门槛也大大的降低了,不断的有新的恶意家族被创建出来。由于有很多恶意软件的源代码被泄漏,攻击者很容易对它们进行修改、甚至融合用以创建新的恶意软件家族。这方面的例子包括 Goznym (Trojan.Nymaim.B),它是由Nymaim 、Gozi ISFB 和Floki Bot (Trojan.Flokibot)融合而来的,而Trojan.Flokibot是Zeus 的一个变种。
这种失控的演变是的很难明确的分辨出恶意代码的家族,因为新的变种可能是一个简单的演变,也可能是一个新组织创建的全新的分支。
沙盒逃逸
恶意软件制作者对其作品如何逃避自动化的分析工具的态度非常谨慎,因此虚拟机(VM)和沙盒检测已成为恶意软件的标准功能。我们在过去曾经报道过各种检测和绕过沙盒的方式。2016年,20%的恶意软件能够检测病识别出虚拟环境,2015年这个比率是16%。诸如Zeus 和 Dridex 这类恶意软件家族在虚拟环境下的行为更加的谨慎,相比而言,Snifula 家族的恶意软件就有点二了。
大多数脚本下载程序,能够通过延迟和环境检测识别出沙盒环境,需要的话会停止执行,及时的一些宏病毒。当然,绕过沙盒盒检测虚拟环境是两个不同的概念。Goznym 会检测系统当前的日期,要求必须接近恶意代码感染的实际日期,这就确保了只有新鲜的样本才会被执行,有效的阻碍了后续在虚拟环境下对样本的分析工作。
如果样本绕过网关并在受感染的计算机上执行,它通常会尝试去杀掉所有与安全工具相关的进程。有些样本甚至会破坏更新进程或者把自己添加到免杀列表中,最近分析到的 Dridex 变种就是这样做的。这些招数对赛门铁克的产品却是无用的。
远程桌面访问
攻击者在进行欺诈交易时,较常使用的一个方法是在受感染的计算机上打开一个远程桌面访问。一些攻击者只需要受害主机启用windows 远程桌面协议(RDP)允许他们进行连接就能发起攻击活动。某些Dridex 和 Ramnit 的恶意软件会部署一个VNC模块,使得攻击者实现对受害主机的远程控制。VNC本身是没有恶意的,通常被系统管理员用于合法的用途,但是这同时也为犯罪分析提供了一个进入隐藏的虚拟桌面的方式,使得其不法活动更加隐蔽。
这种攻击方式在对抗设备指纹的安全防护方面非常有效,因为攻击者正在使用受害者的计算机进行欺诈交易。因此,对于反欺诈团队而言,通过分析传输模式和交易历史,是发现这类攻击的唯一机会。
另外,这种方法也被用来检测受害主机是否是一个财物部门的机器。Dridex 和其他恶意家族的软件会利用远程虚拟桌面的方式检测受害主机上的软件,如果存在它们感兴趣的,比如安装了某一类财物软件,它们会继续实施下一步的攻击。
转移视线
网络犯罪经常结合多种攻击方式,创造烟雾弹,转移防护者的视线或注意力,来达到攻击的目的。在去年的白皮书中,我们讨论了攻击者如何利用拒绝服务攻击的方式,使银行疲于应付,从而清空客户的银行账号。Dyre 组织就曾经利用一个DDOS攻击打摊了一个银行的网上银行站点,使得客户无法获知其账号被黑客攻击的信息。在某些情况下,这种手法与针对客服热线的电话拒绝服务攻击类似。
根据维基解密最近泄漏出来的文件可知,具有国家背景的攻击者使用 Carberp 恶意软件源代码创建新的恶意软件变种。 去年的白皮书中,我们也提到一些 APT 组织正在使用Trojan.Zbot木马。这些网络犯罪工具包是相当复杂的,复制它们是有意义的。使用常见的恶意软件可以很好的隐藏攻击者的身份,使用Zbot 或者Carberp 这类大众恶意软件进行工具的活动,通常不会被深入调查。
Webinjects
采用Webinjects的方式进行活动,允许恶意攻击者修改浏览器显示给用户的信息(在其发送到服务供应商之前)。
过去,一个基于JavaScript 的 webinject 命令会被加密存储在本地计算机上,由一个特定的URL触发。目前大多数的 webinject 都可以从远程服务器上加载最终的有效载荷,允许根据特定目标进行动态调整。 比如,money mules 的账号是实时加载的,当一个账号存在阻碍时,会启用一个新的账号来替代。恶意代码执行过程中遇到的任何错误都会发送到恶意软件作者那里,作者可以根据金融机构实施的任何新的防御措施进行相应的调整。注入的脚步也可以模仿用户的行为,增加填写表单和提交表单动作的延迟,使得其操作更加逼真,更有欺骗性。
重定向的方法
由于越来越多的安全工具可以检测并阻止针对Web浏览器的注入,相当多的金融木马已经改变了它们的行为,试图逃避本地检测。它们尝试将网络流量重定向到攻击者控制的网站,而不在是在浏览器进行注入。虽然这种重定向流量的攻击是银行木马早期的一个伎俩,但它现在目前重新焕发了生机。2014年,Dyre 开启了重新关注流量重定向的第一波。
一些Ramnit 的变种已经开始建立自己的本地代理以便于通过它重定向网络流量。攻击活动依然需要在浏览器上注入一个模块以便能够重定向流量,但是使用不同的APIs。恶意软件可以使用钩子定住crypt32.dll的证书认证API,用来监听SSL通信和拦截用户的错误消息。
还有一种流行的方式是改变DNS服务器。除此之外还可以安装一个流氓证书用以抑制SSL告警。
通过修改本地的hosts文件也是一种好方法,可以设置新的DNS服务器、除刷新DNS解析缓存记录。还观察到有些案例中使用 Proxy Auto-Con- fig (PAC) 自动修改某些URL的浏览器的代理设置,或者使用PowerShell脚本来修改系统和浏览器的代理服务器和DNS设置。
IOT僵尸病毒的横冲直撞,使得攻击者知道了路由器是一个容易被攻破的目标。不仅可以用来作为DDOS攻击的武器,还可以通过简单的切换DNS服务器来执行MITM攻击。比如2016年10月,巴西银行在线网站被劫持长达五小时,这期间允许攻击者重定向客户到一个欺诈网站。
综上所述,受害者可能遭遇两类重定向攻击:一个攻击者伪造的网站,或者修改通信通道的透明代理。Webinjects的攻击流程更多的依赖于远程服务器,这给安全研究人员的分析工作带来了更多困难。
对攻击者而言,保持假冒网站的更新是他们很多人例行的工作,这点可以应付。不过一大缺陷是,银行的流量来自不同的IP地址(除非使用了本地代理),如果有太多流量来自同一个地址,容易引发怀疑。
会话劫持
一些在线服务只依赖于session tokens 或 cookies 进行初始的身份验证。一些攻击活动会窃取tokens信息并发送给C&C服务器。一个自动化的脚步可以使用窃取到的token信息登录到银行账号并发起交易。为了尽可能的模拟用户的浏览器,攻击者会克隆一个逼真的浏览器user agent和其他的身份属性信息(如屏幕分辨率等)。然而IP地址依然是不同的,为了绕过后台反欺诈系统的检测,攻击者通常会使用一个受害者计算机上相同浏览器的隐藏实例,或者安装一个代理并通过受害者计算机的反弹进行交易。
FileLess
金融木马中,FileLess的攻击手法越来越受欢迎,尽量保留较少的明显的入侵系统的痕迹是恶意软件的一个趋势。(FileLess的具体介绍可以翻阅文末【更多资料】里趋势科技的一篇技术分析文章)。2016年初,我们观察到Ramnit的一些变种使用装载的DLL通过SSL通道从互联网上下载实际的有效载荷,这本身没有什么新鲜的,不过有趣是的,下载的有效载荷被存储在一个windows注册表的某处(数据块经过了XOR 加密混淆)
窗口覆盖
一些小的恶意软件已经开始尝试窗口覆盖技术。在这种技术中,木马会等待用户访问特定的网上银行服务或打开一个银行专用的应用程序,然后创建一个假的窗口放置在原始窗口上面。在这一流程中,用户被要求输入他们的账号凭据,当然了这些信息都会被窃取。由于这种威胁不涉及浏览器交互,也不需要URL通知,因此不会收到相关的报警或警示。虽然这不是一种常见的基于桌面系统的威胁,但是这种方式在移动端的威胁比较广泛。
AtomBombing 注入
AtomBombing 是一种新的Windows代码注入技术。2017年初,我们观察到新版的Dridex中使用了这种技术。我们对AtomBombing的研究已经持续了一段时间了,但这是我们第一次看到这种技术被金融木马所使用。(有关这种技术的介绍,请参考【更多资料】的Atom Bombing)。
赛门铁克的行为检测引擎积累了多年的检测和研究结果,目前已经能够阻止Atom Bombing注入。
社会工程学攻击
社会工程在大多数的金融威胁活动中都发挥了重要的作用,无论是在感染阶段还是在攻破多因素认证环节。也存在一些攻击,不需要任何恶意软件,只需要社会工程就可以达成。我们之前谈论过EBC(business email compromise) 方式的攻击,这种攻击中骗子只是通过发送电子邮件,试图说服财务部门赚钱给他们。EBC诈骗中的社会工程学策略也在不断的演变。
攻击者想窃取什么?
一旦金融威胁已经危机了计算机,攻击者会窃取任何凭据,这有助于其实现利润最大化。除了窃取网络因素凭证外,攻击者还会搜索其他的密码。例如 Ramnit 木马会窃取各种管理工具和FTP客户端的账号凭据信息。还有专门针对比特币账号的木马,另外我们也看到了一些样本会窃取在线电子商务平台、拍卖平台、在线游戏、音乐和视频等多媒体平台的账号凭据。这间接反映了地下市场的数据流行情况。
去年,公众可访问的地下论坛和暗网所提供的数据大体上保持着稳定。信用卡依然是地下论坛最畅销的数据。银行账号的价值取决于账号余额,例如一个有1000美元余额的账户可能售价10美元,余额越多售价越高。
赛门铁克观察到,货币转让服务有所增加,大约是实际价值的10%,例如转移1000美元需要支付价值100美元的比特币。这说明,洗钱的过程依然是网络犯罪链中最困难的一步。
未完待续
【更多资料】
Dridex攻击波
https://securityintelligence.com/hey-dridex-tu-runa-latviski/
The Rise of Fileless Threats that Abuse PowerShell
https://www.trendmicro.com/vinfo/us/security/news/security-technology/security-101-the-rise-of-fileless-threats-that-abuse-powershell
AtomBombing
http://bobao.360.cn/learning/detail/3148.html
*图片来自报告
*本文来自MottoIN(ID:mottoin)
