Blackmoon银行木马新样本 技术分析与防护方案
2017-05-18
一、综述
在2016年报道的盗取超过15万韩国用户银行信息的Blackmoon银行木马于2017年又被发现采用了全新的框架模式来对网络银行进行攻击,通过三个分开但又彼此联系的步骤来部署该木马,并进行后续的攻击。这与在2016年的以adware和exploit kits为传播方式的框架完全不同。
Blackmoon
早在2016年,Unit 42跟进并分析了一个专门针对韩国银行的网络恶意活动,并将之命名为“KRBanker”即“Blackmoon”。Blackmoon的攻击方式与传统的MITB模式不太相同,主要是采用“Pharming”的形式将用户重新定向到一个伪造的网站,从而骗取用户在冒充的页面输入的账户信息。伪造的网站IP通过利用QQ空间的API来传递,随后利用PAC(Proxy Auto-Config)与恶意的ja
传播方式:
旧传播方式
2016年发现的Blackmoon样本均是以adware以及exploit kits(EK)模式来进行传播并感染用户机器。用来安装Blackmoon的EK叫做KaiXin,通过利用Adobe Flash的一些漏洞来传播安装木马。另一个传播途径是通过一个叫NEWSPOT的adware程序。用户安装了该程序后,通过该程序的update通道,Blackmoon木马会被下载到用户的机器上,随后木马会运行并且开始攻击。
新传播方式
Fidelis于2016年底至2017年初又发现了一个独特的三阶段框架,专门用来传播部署Blackmoon银行木马。 该框架通过按次序部署拥有不同但相关功能的组件来完成完整的Blackmoon木马的传播。Fidelis把这个框架称为Blackmoon下载器框架(如下图),包括初始下载器(Initial Downloader)字节下载器(Bytecode Downloader)以及KRDownloader。
二、样本技术分析
概述
此次事件与前几年针对韩国金融行业的木马BlackMoon有关,近日安全公司捕获了一系列新的样本,这些样本后续会下载BlackMoon到受害者的计算机中,BlackMoon目前只针对以韩语为计算机语言的目标,暂时并未发现涉及其他地区,在分析之后我们认为这些新样本是一套下载套件,并且是自动生成的,其下载链接非常有规律,应为同一时间生成的。
详细内容,请下载《Blackmoon银行木马新样本 技术分析与防护方案》