未加星标

新型银行木马使用微软SQL Server作为C&C服务器进行通信

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二04 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
新型银行木马使用微软SQL Server作为C&C服务器进行通信

在近期针对巴西金融服务行业的网络攻击活动中,IBM X-Force研究团队发现了一种基于Delphi(windows平台下知名的快速应用程序开发工具)的新型银行木马。该银行木马被命名为“MnuBot”的银行木马,吸引IBM X-Force研究团队注意的地方在于其不同寻常的命令和控制(C&C)服务器。


对于大多数银行木马或者其他类型的恶意软件而言,它们都会使用C&C服务器,用于与恶意软件进行通信,并发送要执行的命令。通常来讲,C&C服务器会是基于某种形式的Web服务器或Internet中继聊天(Internet Relay Chat,IRC)频道。

然而,MnuBot银行木马在这一点上似乎显得有些“独树一帜”,它选择了利用微软SQL Server数据库服务器来与样本进行通信,并发送要在受感染主机上执行的命令。


新型银行木马使用微软SQL Server作为C&C服务器进行通信

受感染主机的列表以及它们收到的配置

MnuBot两阶段攻击流程

MnuBot由两个基本组件构建而成,每个组件代表攻击流程的不同阶段。在第一阶段,MnuBot会在AppData Roaming文件夹中查找名为Desk.txt的文件。

根据文件是否存在,MnuBot执行以下行为:

如果文件不存在,MnuBot会创建该文件,创建一个新桌面并将用户工作区切换到新创建的桌面。该桌面与合法用户桌面并排运行;

如果文件存在,MnuBot则不会进行任何行为。

使用Desk.txt文件,MnuBot能够知道正在运行的是哪个桌面。因此,如果文件存在,MnuBot便能够明确其当前实例正在新桌面中运行。


新型银行木马使用微软SQL Server作为C&C服务器进行通信

MnuBot在新创建的桌面内运行

在新创建的桌面中,MnuBot持续检查前景窗口名称。一旦找到与其配置中的某个银行名称类似的窗口名称,它将根据找到的银行名称向服务器查询第二阶段可执行文件。下载的可执行文件保存为C:\Users\Public\Neon.exe——并且它包含攻击的主要逻辑。

下载的可执行文件实际上是一个远程访问特洛伊木马(RAT),它为攻击提供对受感染主机的完全控制权,以及MnuBot附带的其他功能。

和其他任何RAT一样,MnuBot需要从C&C服务器接收命令。为此,它会不断向SQL Server数据库服务器查询新命令。

与数据库通信

在感染用户主机时,MnuBot连接到C&C服务器以获取初始配置。想要连接到服务器,MnuBot需要使用SQL Server数据库服务器的详细信息(服务器地址、端口、用户名和密码),这些信息在示例中采取了硬编码。

值得一提的是,这些信息以加密形式存储,并在初始化与服务器的连接之前动态解密。


新型银行木马使用微软SQL Server作为C&C服务器进行通信

连接细节的解密

该配置由许多对MnuBot活动至关重要的字符串组成:

要执行的查询;

攻击者能够发送的命令;

MnuBot文件需要进行的交互;

有针对性的银行网站。

如果没有配置,MnuBot会自行关闭,不会在受感染主机上执行任何恶意行为。

通过这种方式接收配置,MnuBot开发者试图实现两个主要目标:

动态配置:在任何时候,攻击者都可以动态更改MnuBot的恶意行为(例如,有针对性的银行网站);

反研究:一旦MnuBot开发者离线服务器,研究人员几乎不可能对恶意软件样本行为进行逆向工程。


新型银行木马使用微软SQL Server作为C&C服务器进行通信

使用SQL查询从C&C服务器获取配置

执行欺诈行为

一旦用户对他的银行网站账户进行了开放浏览会话并且可以下载MnuBot的第二阶段可执行文件,攻击者就可以开始工作。此时,他们已经从受感染主机向银行公开会话。

为了执行成功的欺诈行为,攻击者可以利用MnuBot的以下功能:

创建浏览器和桌面屏幕截图;

键盘记录;

模拟用户点击和击键;

重新启动感染主机;

从系统中卸载Trusteer Rapport(IBM安全软件);

创建一个表单来覆盖银行的表单,并窃取用户输入到表单中的数据。

攻击者通过更新一个名为“USUARIOCONTROLEXGORDO”的表中的特定列来向用户发送命令,该表存储在名为“jackjhonson”的数据库中。

一些特定列包括以下内容:

COMP_ ACAO:此列标识要执行的命令的类型;

POSICAOMOUSE:如果命令是模拟用户点击,此列将会随光标位置更新;

USER_IMAGEM:如果命令是屏幕截图,该列将随受感染主机的屏幕截图BMP图像进行更新;

VALORINPUT:此列包含输入,以防止输入插入命令。


新型银行木马使用微软SQL Server作为C&C服务器进行通信

使用值PrintDesktop更新列COMP_ACAO向恶意软件发送命令以创建桌面

覆盖表单

和其他恶意软件一样,MnuBot使用全屏覆盖表单来帮助攻击者实施欺诈行为。覆盖表单用于防止用户通过浏览器访问已打开的银行业务会话。

这些表单是一种让用户等待的社交工程。在后台,攻击者控制用户端点,并试图通过用户已打开的银行业务会话执行非法交易。

此外,如果攻击者想要获取用户的更多细节,他们能够使用另一种覆盖表单来诱使用户提供这些细节。为此,他们需要使用在攻击的第二阶段下载的可执行文件(Neon.exe)。该可执行文件包含用户当前正在使用的银行的相关社会工程表单。


新型银行木马使用微软SQL Server作为C&C服务器进行通信

基本的覆盖表单


新型银行木马使用微软SQL Server作为C&C服务器进行通信

社会工程技术:用于获取更多细节

总结

MnuBot的开发者很可能试图逃避基于恶意软件流量的常规防病毒检测。为此,他们决定使用看似无害的微软SQL通信来包装他们的恶意网络通信。

MnuBot可以说是巴西地区许多恶意软件家族的典范。它具有许多其他最近发现的恶意软件的典型特征,如覆盖表单和新桌面创建,这些都是该地区恶意软件开发者使用的主流技术。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

tags: MnuBot,表单,桌面,用户,恶意,攻击者,SQL,木马,银行,软件,命令,主机,Server,可执行文件
分页:12
转载请注明
本文标题:新型银行木马使用微软SQL Server作为C&C服务器进行通信
本站链接:http://www.codesec.net/view/577145.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(104)