木马变种通过“永恒之蓝”漏洞感染多国银行网站

幸运草
幸运草
幸运草
933
文章
3
评论
2020年5月20日23:53:32 评论 81

就在我们身边!邮件劫持型网络诈骗亟需措施防范!

木马变种通过“永恒之蓝”漏洞感染多国银行网站

近日,据外媒报道称,研究人员发现了第三种通过“EternalBlue”(永恒之蓝)进行传播的银行木马。EternalBlue是由Shadow Brokers(影子经纪人)泄漏的一个属于美国国家安全局(NSA)的高危漏洞,该漏洞也是WannaCry和NotPetya 勒索软件攻击的主要驱动力。

其他两种利用EternalBlue进行传播的银行木马是今年7月份爆发的Emotet和TrickBot。这两个银行木马都使用了大量的EternalBlue定制漏洞在同一网络的其他计算机上进行传播,试图寻找存储有更敏感数据的计算机或感染更多受害者。

这两种银行木马的“创新之举”似乎刺激了Retefe银行木马背后的开发者,如今,他们也开始“如法炮制”,将EternalBlue模块用于Retefe之中。

Retefe银行木马于9月5日获得EternalBlue模块

据网络安全公司ProofPoint的研究人员介绍,从今年9月5日开始,一款名为“Retefe”的银行木马一直在使用EternalBlue作为其感染程序的一部分。其目的都是相同的——攻击者可以利用该漏洞,将初始感染升级到同一网络上的其他计算机(使用过时的SMBv1服务)中。

就像Emotet和TrickBot银行木马一样,Retefe似乎已经修改了GitHub上发布的概念验证(POC)EternalBlue漏洞利用代码,甚至其背后的开发者还通过添加一个新组件来对它进行了改善。

Retefe——从代理劫持(proxy hijacking)、Tor到现在的EternalBlue

研究人员表示,看到Retefe开始利用EternalBlue进行传播一点也不奇怪。与TrickBot或Dridex这种喜欢通过传播大规模垃圾邮件进行攻击的银行木马不同,Retefe和Qbot银行木马偏向于小规模的攻击。ProofPoint的研究人员表示,

Retefe的攻击目标主要是位于奥地利、瑞典、瑞士以及日本等国家的银行客户。该银行木马自2013年以来一直活跃,虽然它的攻击规模远不如TrickBot以及Dridex等木马,但其独特的攻击方式和针对性的攻击区域还是引起了我们的注意。

Retefe银行木马的攻击方式是独特的,它不同于Dridex等类型的木马,需要使用hook技术在浏览器的合法站点上注入伪造的登录页面,Retefe主要依赖于修改计算机的代理服务器设置,将某些网站的流量重定向到攻击者的服务器上。大多数这些服务器都是存储在暗网上,有助于木马开发者隐藏其网络踪迹,增加研究人员的追踪难度。

木马变种通过“永恒之蓝”漏洞感染多国银行网站

【Retefe使用的代理注入(proxy injection )示意图】

此外,研究人员还发现,最近几个月中,Retefe还使用Microsoft Office恶意文档分发网络钓鱼邮件,这些附件包含嵌入式的Package Shell 对象或OLE对象,它们通常显示为Windows快捷方式“.lnk”文件。此外,附件中还包含图像和文本,诱使受害者点击快捷方式运行它们(如下所示):

木马变种通过“永恒之蓝”漏洞感染多国银行网站

【Retefe使用的 Microsoft Word附件】

一旦受害者打开附件中的快捷方式便会触发一个PowerShell执行命令,下载一个托管在远程服务器上的可执行有效载荷。在最新的活动中,该有效载荷是自解压缩Zip存档:

木马变种通过“永恒之蓝”漏洞感染多国银行网站

【用户打开快捷方式时显示的安全警告】

如上所述,下载的可执行文件是一个自解压缩的Zip存档,它包含一个多重模糊的JavaScript安装程序,其中包含了多条配置会话参数,而其中一个参数(“pseb:”)被引用来执行“永恒之蓝”漏洞脚本。

木马变种通过“永恒之蓝”漏洞感染多国银行网站

【多重模糊的JavaScript安装程序】

Retefe银行木马钟爱瑞士银行

研究人员认为,Retefe之所以钟爱瑞士银行的原因在于这些银行通常会迎合高端客户和大型企业,因此有机会获取更高的收益。

此外,研究人员还观察到,Retefe背后的开发者正在展开越来越有针对性的攻击,且有了EternalBlue漏洞的加持后,一旦初始目标被感染,便能够轻松地在网络中传播恶意软件,扩大感染规模。

还需要特别注意的是,在WannaCry的影响下,越来越多的银行木马可能会使用EternalBlue进行传播,这可能会成为2018年的威胁新趋势。

最后,Proofpoint建议企业应该确保自身已经完全修补了EternalBlue相关的漏洞,关闭了IDS(入侵检测系统)系统和防火墙的相关通信,并阻止了电子邮件网关中的恶意邮件(Retefe的主要攻击向量),由此来防范自身安全。

特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

快禁用“语音助手”!黑客可利用超声波劫持所有主流语音识别平台

可操作范围 掩饰攻击——由于屏幕显示和声效都会暴露攻击,所以攻击者可通过调暗屏幕和调低音量掩饰自己的攻击行为。研究者们通常发送的超声波频率是25到39kHz。攻击范围最大可达175厘米,具有很好的可操作性。 更糟糕的是,即便是攻击者没有直接访问设备的情况下,这…

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
运维开发的痛点和思考 运维

运维开发的痛点和思考

运维自动化之殇 | 高效运维最佳实践05有人从实用性的角度来表述运维自动化,就是把运维日常需要登录机器的操作,完全Web化,以后只需要点一下鼠标就搞定。然后,和监控结合,就有自动扩缩容,自动告警分析,...
运维必须掌握的Linux面试题 运维

运维必须掌握的Linux面试题

运维的价值和目标拆解我不幸福 很多运维同学感觉自己很苦逼,感觉每天都在救火,给研发擦屁股,做一些重复工作,做一些对自己提升较小的事情,总结一句话,就是不幸福。 怎么幸福 工作中的幸福主要来自两点: 1...
网络安全周 | 关于网络运维的那些事儿 运维

网络安全周 | 关于网络运维的那些事儿

运维不仅仅是Linux居然还要懂这这些备份 做最好的计划,做最坏的打算。 gitlab删库事件的教训犹在眼前,丢失了几小时的数据,虽然大部分的备份策略都失效了,但还是挽救了几小时前的一个备份,才没有造...
数据中心IT运维之数据采集篇 运维

数据中心IT运维之数据采集篇

运维的耻辱感运维团队缺少体系和全局观的支撑,导致运维后面的阶段性发展是碎片式的。碎片式的运维工作推进,运维人或者周边团队自然没法理解运维工作的意义和价值。 体系是要求运维团队能给出整体的运维框架(价值...