揭秘網(wǎng)銀大盜ZeuS的最新變種銀行木馬Chthonic

說(shuō)到Zeus／Zbot，做安全多多少少都會(huì)有所了解。Zeus是對(duì)金融系統(tǒng)威脅最大的僵尸網(wǎng)絡(luò)之一，控制者借助僵尸程序竊取賬戶(hù)登錄信息和信用卡號(hào)碼。Zbot往往通過(guò)垃圾郵件來(lái)傳播，中招的會(huì)下載一個(gè)程序，這個(gè)程序會(huì)控制網(wǎng)銀，偷取信息。近期卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)了一款ZeuS的最新變種Chthonic。

2014年秋季，卡巴斯基發(fā)現(xiàn)了一款新的銀行木馬，之所以引起了卡巴斯基的注意是因?yàn)椋?/span>

首先，從技術(shù)上來(lái)說(shuō)這款病毒非常有趣，它使用了一種新技術(shù)加載模塊。
其次，通過(guò)分析它的配置文件我們發(fā)現(xiàn)，這款木馬針對(duì)的是大量在線銀行系統(tǒng)：超過(guò)150家不同的銀行，還有來(lái)自15個(gè)國(guó)家的20個(gè)支付系統(tǒng)。主要針對(duì)來(lái)自英國(guó)、西班牙、美國(guó)、俄羅斯、日本和意大利的銀行。
卡巴斯基實(shí)驗(yàn)室將這款新病毒命名為T(mén)rojan-Banker.Win32.Chthonic。
雖然經(jīng)過(guò)大量修改，我們還是察覺(jué)到這款木馬是ZeusVM的變種。Chthonic使用與Andromeda bots相同的加密器，與Zeus AES和Zeus V2木馬相同的加密方案，與ZeusVM和KINS類(lèi)似的一款虛擬機(jī)。

感染方式

Trojan-Banker.Win32.Chthonic感染主機(jī)有兩種方式： 

發(fā)送帶有exploits的電子郵件：犯罪分子會(huì)附上一個(gè)“精心制作”的RTF文件，文件會(huì)利用微軟Office產(chǎn)品中的CVE-2014-1761漏洞。文件的使用的是.DOC后綴，為的是看起來(lái)不那么可疑。

如果成功的話，受害者的主機(jī)就會(huì)下載一個(gè)downloader木馬。上圖例子中，這個(gè)downloader木馬來(lái)自一個(gè)被攻陷的網(wǎng)站 —— hxxp://valtex-guma.com.ua/docs/tasklost.exe。
Andromeda bot則會(huì)從hxxp://globalblinds.org/BATH/lider.exe下載downloader木馬。

下載木馬

一旦downloader被下載，就會(huì)向msiexec.exe注入代碼。似乎這款downloader是基于Andromeda bot的源代碼修改的，雖然兩者采用了不同的通信協(xié)議。

Andromeda和Chthonic downloader的相似之處

Andromeda和Chthonic C&C采用了不同的通信協(xié)議

Chthonic的downloader包含一個(gè)加密的配置文件(KINS和ZeusVM也使用了類(lèi)似的加密)。配置文件主要包括：一個(gè)C&C服務(wù)器列表，一個(gè)用于RC4加密的16字節(jié)密鑰，UserAgent和僵尸網(wǎng)絡(luò)ID。

調(diào)用虛擬機(jī)函數(shù)的主要過(guò)程

解密配置文件后，內(nèi)容即被以以下形式儲(chǔ)存在堆內(nèi)存中：

這個(gè)過(guò)程沒(méi)有傳遞指針。Andromeda bot會(huì)通過(guò)RtlWalkHeap函數(shù)檢查每個(gè)堆元素，將起始的4個(gè)字節(jié)與MAGIC VALUE匹配。
downloader會(huì)收集本地IP，僵尸id，系統(tǒng)信息，語(yǔ)言信息，uptime和其他信息，然后先用XorWithNextByte進(jìn)行加密，再用RC4，接著把信息發(fā)送到配置文件中指定的一個(gè)C&C地址。
發(fā)送信息后，木馬會(huì)收到一個(gè)擴(kuò)展加載器。不是標(biāo)準(zhǔn)的PE文件，而是一系列片段，加載器會(huì)把這些片段映射到內(nèi)存，這些片段包括：可執(zhí)行代碼，重定位表，入口點(diǎn)，導(dǎo)出的函數(shù)和引入表。

Andromeda和Chthonic中的import setup片段

頭文件

擴(kuò)展加載器中還包含一個(gè)使用虛擬機(jī)加密的配置文件。它會(huì)加載木馬的主模塊，然后主模塊會(huì)下載其他模塊。擴(kuò)展加載器本身使用AES加密，而其他片段是用UCL打包的。主模塊加載其他模塊，建立引入表的方式與Chthonic downloader很相似。

模塊加載過(guò)程見(jiàn)下圖：

模塊

Trojan-Banker.Win32.Chthonic采用模塊結(jié)構(gòu)。至今為止我們已經(jīng)發(fā)現(xiàn)的模塊：

木馬中有很多函數(shù)通過(guò)各種手段竊取在線銀行的用戶(hù)名密碼。而VNC和cam_recorder模塊能讓攻擊者遠(yuǎn)程連接感染的電腦并且進(jìn)行交易，還可以用電腦的攝像頭和麥克風(fēng)錄下視頻音頻。

注入

Web注入是Chthonic的主要武器：他們能夠用木馬在瀏覽器打開(kāi)的網(wǎng)頁(yè)代碼中插入自己的代碼和圖片。攻擊者能夠借此獲取受害者的手機(jī)號(hào)碼，一次性密碼和PIN，還有受害者輸入的用戶(hù)名和密碼。
例如，當(dāng)用戶(hù)訪問(wèn)日本銀行時(shí)，木馬會(huì)隱藏銀行的提示警告，并且插入腳本，使得攻擊者能夠使用受害者的賬號(hào)進(jìn)行轉(zhuǎn)賬：

在線網(wǎng)銀網(wǎng)頁(yè)截屏（注入前/注入后）

注入的腳本中的函數(shù)

注入的腳本也會(huì)顯示很多假窗口，以獲取攻擊者想要的信息，如下圖所示，窗口顯示一個(gè)警告，警告用戶(hù)賬號(hào)認(rèn)證有問(wèn)題，提示用戶(hù)輸入交易驗(yàn)證碼(TAN,Transaction Authentication Number)：

交易驗(yàn)證碼輸入窗口

不過(guò)我們的分析發(fā)現(xiàn)針對(duì)俄羅斯銀行的注入有點(diǎn)異常。當(dāng)受害者打開(kāi)一個(gè)在線銀行網(wǎng)頁(yè)時(shí)，網(wǎng)頁(yè)的整個(gè)頁(yè)面都被替換了，而不是像其他銀行一樣只注入一部分。木馬會(huì)創(chuàng)建一個(gè)與原來(lái)窗口大小一樣的iframe，覆蓋原網(wǎng)頁(yè)。

下圖是注入的代碼的片段，這段代碼會(huì)替換title與body結(jié)束標(biāo)記之間的內(nèi)容：

腳本內(nèi)容：

如果注入成功，bot就會(huì)收到指令建立反向鏈接：

覆蓋區(qū)域

病毒襲擊了15個(gè)國(guó)家的150家銀行和20個(gè)支付系統(tǒng)。攻擊者主要針對(duì)英國(guó)、西班牙、美國(guó)、俄羅斯、日本和意大利的銀行。

Chtonic目標(biāo)的國(guó)家分布

值得注意的是，盡管配置文件的列表中有很多目標(biāo)，但很多用于web注入的代碼片段已經(jīng)不能用了，因?yàn)殂y行更改了他們的網(wǎng)頁(yè)，有的銀行甚至域名都改掉了。另外，有些代碼片段我們幾年前在其他病毒（例如Zeus V2）的配置文件中看到過(guò)。

總結(jié)

我們看到ZeuS木馬仍然在不斷更新完善，加入新的技術(shù)。這得益于ZeuS源碼的泄露。所以很多寫(xiě)木馬的把它拿來(lái)當(dāng)框架了，任何人都可以加入新功能滿(mǎn)足需求。
所以，以后我們無(wú)疑會(huì)看到更多的ZeuS新變種。
部分md5: