关于GootKit银行木马最近出现的一些改动的说明

https://p5.ssl.qhimg.com/t016695ed30f09e8914.jpg

Tomer Agayev和Gadi Ostrovsky两位安全研究员一直致力于GootKit银行木马的研究。

2014夏天,GootKit银行木马被安全研究人员发现。在这之后,GootKit一直被认为是一种黑客私有的网络犯罪工具,黑客并不会将其放在一些地下论坛上进行出售。同时,该木马是由一个小型黑客组织研发,并将其投入到了“实践”中。由于GootKit木马具有极强的数据盗窃、反安全软件检测以及篡改用户浏览器设置的破坏能力,它被视为是现在破坏力最强的几大银行木马程序之一。黑客使用该木马来实施网上银行欺诈攻击,攻击目标通常是一些欧洲银行的网络系统,从中盗取银行客户的账户信息。

纵观2016年发生的多起网上银行欺诈攻击案,我们不难发现:黑客会利用GootKit具有的恶意破坏功能,侵入一些从事零售业经营用户的网上银行系统,盗取他们的个人身份验证信息;同时利用某些社会工程学技术操纵他们的网上银行系统。最终,这些黑客能够控制用户的网上银行帐户,并盗走其中的资金余额,将其转入到自己设定的,用于销赃的账户中。

除了以上介绍的威胁之外,GootKit其实还是一个能够让恶意程序隐形,实时报告用户系统动态的恶意木马。同时,它还能够实施动态的Web注入攻击等网络活动。黑客通过发动这种网页代码注入攻击,能够修改被感染用户设备浏览器中的银行主页。自从发现了多起GootKit木马攻击都是由同一个黑客团体实施后,安全研究人员得出了这样的结论:这个黑客团体正专注于GootKit木马的改进,改善它的隐身机制,提高其规避安全软件检测和欺诈的能力。

IBM公司X-Force安全团队对GootKit木马进行了分析研究。他们在分析报告中指出:2016年6月,我们发现3个关于GootKit木马的有意思的改动,他们分别是:

1.       新增了标记式视频捕捉模块;

2.       强化了对系统中虚拟机的探测能力;

3.       为逃避安全软件的检测,而设计了一个流量修改安装程序;

加快视频捕捉模块的加载速度:

X-Force团队中致力于GootKit木马研究的研究员表示,这一改进将会缩短从被感染的设备中截取的视频长度,同时,GootKit木马的开发者会对这一功能模块进行一定的修饰处理。

直到最近新版本的出现,攻击方式才有了新的改进。GootKit会利用这一模块,记录下被攻击用户桌面上保存的视频,并用MP4格式文件,将其传到他们使用的C&C服务器上。这些视频文件的长度都经过了缩减,只保留了其中的重点内容。

GootKit开发者采用的一个新的文件格式即为:.ivf。开发者通常使用Ligos Corporation公司的indeo编码解码器,来对.ivf文件进行加密处理。这在整个软件的开发过程中,显得十分奇特,正是因为.ivf是一种太古老的文件格式,必须采用这样的方式,才能呢个完成加密处理。由于这种编码解码器是一个无需硬件加速,就能实现视频高速全程回放的编解码器,给用户使用带来了极大的便利,因而它在20世纪90年代十分流行。在这之后,有新的标准格式取代了.ivf;慢慢地,它也就淡出了人们的视野。但是,对于一些短视频来说,.ivf格式同样适用。黑客也同样意识到了这一点,他们在编译恶意软件时,往往青睐.ivf格式的文件。因为这种格式能够规避大多数现代安全软件的检测,防止黑客所使用的服务器发生数据泄露。

一旦GootKit拿到了.ivf格式的视频文件,它会将该文件压缩为.izma格式文件,以此作为一个小型文件来确保维持视频的帧度。Lzma格式的压缩文件和zip格式文件有这相似之处:它们都能对数据进行压缩保存,来节省存储空间。然而,lzma压缩方式比起其他压缩方式来说,可以节省大量的解压时间。这种格式的文件常常用于基于Unix的操作系统中。

https://p3.ssl.qhimg.com/t01ebf080329adf62f9.png

GootKit的“强大之处”:规避安全检测

尽量使得GootKit能够逃避系统安全软件的检测,是在研发此类恶意软件时,需要考虑的重点。GootKit之所以成为现在破坏力最大的恶意软件之一,正是因为开发者在其中加入了强大的逃避检测技术,以及其自身具有的安全性。

来自X-Force团队的研究员表示,GootKit的开发者已经为GootKit研发出了更强大的保护模块,以此来躲过安全人员的监控。在GootKit的最新版本中,我们可以很轻易地找到这些模块。

拥有虚拟机探测机制:

第一阶段:GootKit's Dropper检测

在GootKit的有效负载配置好之前,GootKit的病毒释放机制就会完成第一步的虚拟机检测。该机制会检查系统中的windows注册表,从中找出一个使用特定名称的服务器。

接下来,Dropper机制会检测虚拟机的资源以及注册表中的参数。例如:它会检测系统的BIOS系统(basic input/output system),来寻找一些能够证明该系统装有虚拟机的线索。包括:AMI;BOCHS;VBOX;QEMU;SMCI;INTEL-6040000;FTNT-1以及SONI等。

下一步即是检查设备的MAC地址,寻找能够证明某节点是虚拟机节点的线索。

如果在上述步骤完成之后,并未发现有虚拟机存在,那么GootKit就会给出一个标志符,提示系统没有安装虚拟机,并退出检测。之后,这一信息就会被传到C&C服务器上,僵尸程序控制端接到这一信息后,就会采取行动,比如:将这一节点加入黑名单。

如果成功检测到了虚拟机,那么dropper就会立即解压GootKit,并在被感染的节点上部署攻击模块,并发动攻击。

第二阶段:GootKit木马检测

在GootKit部署好攻击模块后,一些原先做过的检测还会再重复一次,同时也会加入新的检测方式。比如:增加对BIOS注册表的检测。它会对CPU所设定的白名单中的信息进行检查,任何一个异常的设备名字都会使GootKit发出了一个VM标示符。之所以会进行这步检查,是因为虚拟机在CPU白名单上的表标识名与其他物理设备名不同,很容易进行辨识。

这些与CPU有关的验证信息并不是唯一的。2015年年中,出现了一个叫做Dyre的网银木马。它在安装之前,就会对目标设备的处理器进行检查,为的是找出系统用于存储信息而安装的虚拟机。由于该虚拟机是用一核运行,这就使它区别于其他用双核运行的用户PC。

接下来,GootKit将会检查目标设备的IDE/SCSI硬盘驱动程序。GootKit的开发者在编译软件时,就设定了不同品牌的虚拟机(比如:VMWare、VBOX、SONI等)。这些虚拟机都采用了嵌入式的安装方式,不容易被发现。但对GootKit来说,这就很容易了,它可以很高效地检测出目标设备上运行的是物理设备程序还是虚拟机程序。

https://p4.ssl.qhimg.com/t016c32fcfce783af2a.png

GootKit似乎在不走寻常路

为了确保攻击步骤能够成功进行,黑客不断更新着此恶意软件:在保持原有稳定性的同时,又加入了基于安全软件设置的安全签名检测。

最近,关于GootKit的改动是,对文件类型和恶意代码注入过程的修改。

比如:1.恶意软件加载程序被注入到了SVCHOST.EXE程序中;

          2 该恶意软件是以一个DLL文件形式保存的:

https://p1.ssl.qhimg.com/t01cf861f14cb5db88d.png

现代很多针对银行网络系统的恶意木马(包括Gootkit在内)都是以可执行文件的形式存在。它们大多是通过dropper机制,被注入目标设备中。但最近,黑客修改了GootKit的文件形式,它不再是一个exe文件了。在共计过程中,它只负责向被感染的设备中加入一个DLL文件。

这就是接下来所要做出的改变。几乎所有的银行木马都是将恶意代码注入到explore程序中,而GootKit则是将代码注入到一个服务器主机中。

虽然两种方式都很常见,都能够完成攻击。但通过GootKit注入DLL的方式(在一次执行过程中,可运行多个实例)可以很轻易地规避安全软件的检测。与GootKit相比,Explorer.exe在一次执行过程中,只能运行一个实例。

转换持久性机制

GootKit的另一个新增功能就是持久性机制。安全软件和恶意软件之间就是你死我活的关系。一个想要存活下去,另一个则是想要斩草除根。过去,GootKit的持续性是通过将软件名编入系统的shell程序注册表中,以获得使用权限来实现。当用户登录被感染的设备时,GootKit就隐藏在了系统中。这就是Dyre之前所使用的方式:系统会把安装这一恶意软件当作是一项系统的日常工作来完成。

在新建过程中,GootKit提供了两个持续性选项:

首先,当使用最低的用户使用权限(LUA)安装GootKit时,GootKit会找一个系统日常任务来进行掩护。该任务每分钟都会被执行,类似于一个看门狗程序。在完成病毒扫描,系统更新等安全步骤后,GootKit就会开始运行。

https://p3.ssl.qhimg.com/t01d39e36f8eea8963a.jpg

当赋予GootKit系统管理员权限后,它可以注入本身自带的恶意代码,而系统会将其看作是Windows提供的一种服务。这种方式最大的优点就在于它能在用户登录设备前就开始运行,而当用户注销后,它仍然在运行。如此一来,不论是GootKit还是其他木马,这种运行方式都能保证木马程序的持续性。

这种“服务”所采用的名字是随机的,为的就是要避开安全软件的检测。

https://p4.ssl.qhimg.com/t0135139098255cfc12.jpg

下面是恶意文件所提供的“服务”的属性:

https://p3.ssl.qhimg.com/t01311c9df0a15a8bb4.png

结论

GootKit是一个在不断发展的恶意软件。开发者经常对它的规避机制和持续性机制,进行修改,使其变得更为复杂,以此来确保该木马能够具有很强的破坏力。木马中的dropper机制通常是利用一些著名的渗透工具(Neutrino和Angler,这种工具可对一些存在漏洞的系统进行渗透)来将恶意代码注入到用户的终端设备中。

对于攻击目标而言,通过对GootKit的配置文件分析,X-Force团队的研究人员发现,这种恶意木马主要是针对法国和英国的银行,同时也包括意大利和西班牙的银行。分析数据还显示,一些节点位于日本的银行系统也遭到了这种木马的攻击。这似乎是一种偶然,因为黑客还是将目光锁定在了欧洲各国的银行。

总的来说,GootKit的攻击范围仅仅是在有限的地区。在全球的银行木马攻击案中,GootKit所占的份量为4%。

https://p3.ssl.qhimg.com/t0168d7db5b6a522d09.png

IBM X-Force团队期待看到GootKit能够继续向前发展。同时,IBM公司的安全研究人员会给一些面临GootKit木马攻击的银行和组织,进行安全指导,让他们了解这一木马的威胁。

为了降低由GootKit带来的安全威胁,银行以及一些网络服务提供商可以采用一些适合自己网络的恶意软件检测方案。他们还可以使用一些能够实时提供网络诈骗木马情况的技术,告知用户相关的安全情况,进一步维护用户信息的安全,从而改变这种恶意木马横行的格局。

而作为用户,想要避免遭到恶意软件的感染,就必须实时更新自己的系统以及常用的应用软件,同时删除那些长期不用的软件,以防止其遭到木马感染。养成良好的浏览习惯:不要浏览弹窗广告,以及一些可能被黑客用为感染源的敏感网站。

另外,由于黑客往往将GootKit以及类似的银行木马以附件的形式,保存在电子邮件中,之后利用发送电子邮件的方式,来传播恶意木马,因而不要点击一些带有附带链接的URL,同时,不要随意打开一些不请自来的陌生邮件,这其中往往隐藏着高危木马程序。

根据MD5给出的不安全消息序列如下:

https://p4.ssl.qhimg.com/t01d662674c10ad5306.png

IBM X-Force安全研究团队将在X-Force Exchange交流平台上,持续更新一些GootKit的消息,以及相应的预防措施。现在就加入XFE平台吧,你可以了解到更多关于GootKit木马以及其他网络攻击的研究成果。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐