频道栏目
首页 > 安全 > 网络安全 > 正文

TrickBot银行金融木马病毒Web Injects的探讨和研究

2017-09-26 10:57:21      个评论      
收藏   我要投稿

今朝,网上曾经有许多对于TrickBot(该恶意病毒木马软件一度被认为是Dyre银行恶意病毒木马软件的继承者)木马的阐发报告。然则,很少有文章对用于诱骗其受益者的木马焦点组件web injects停止阐发,是以在本文中我将深刻对web injects停止研究和阐发。

Web injects

Web injects平日是一段HTML或许javascript代码,这些代码平日被注入到阅读器关上的网页(主如果银行网站)中,容许木马变动或调换网页中的内容或许在网页中表现别的字段。 网络入侵攻击者应用Web injects盗取用户在网页上输出的登录凭证,或许向用户发送诱骗别的凭证的哀求(非银行发送的哀求),比方pin码等。是以,Web injects(也称为发生在阅读器中的入侵攻击)是一种“高超”的技巧手腕,网络入侵攻击者可以或许应用该技巧实行社会工程入侵攻击或许或主动转变受益者停止的泉币生意业务。

与Dyre木马软件应用的Web injects范例同样,TrickBot应用两种范例的Web injects:“web捏造”和“服务器端注入”。TrickBot将其Web injects界说并存储在相似XML的树布局中,设置装备摆设列表中的每一项界说了目的(银行)网站,web inject范例和托管web inject服务器的IP地点。图1所示的是一个设置装备摆设列表,该设置装备摆设列表是在TrickBot过程的内存中找到的。在本文的别的部门中,我将对TrickBot应用的这两种Web injects范例停止论述。对付每一个Web injects范例,我还将论述银行可以或许在服务器端用来检测TrickBot的进攻步伐。

\

图1:TrickBot设置装备摆设列表

Web捏造

TrickBot的web捏造是一种网络注入技巧,该技巧在受益者阅读银行网站时,会将受益者重定向到恶意病毒木马的服务器。经由过程捏造银行网站的登录页面,恶意病毒木马网站服务器有用地将受沾染的用户从银行的正版网站诱骗到捏造的恶意病毒木马网站中来。在TrickBot的Web injects设置装备摆设列表(如图1所示)中,Web捏造应用sinj标签界说。当受益者登录到捏造的银行网站时,他平日会看到一个“please wait”新闻,一旦用户在登录框中输出登录凭证,那末凭证数据便会被发送给入侵攻击者(如图2所示)。

\

图2:捏造银行登录网页

捏造的服务器在发送登录凭证的时刻会在入侵攻击者端触发警报,容许网络入侵攻击者应用盗取到的登录凭证在实在银行的登录页面上登入受益者的银行账户。当受益者还在捏造的服务器上耐烦期待时,入侵攻击者曾经开端在检查受益者的银行帐户和生意业务限定信息。在这一点上,非常漫长的期待光阴可以或许是受益者用来断定能否被入侵攻击的目标。因为阅读器的URL地点栏仍包含正当银行网站的域名,是以重定向到捏造的银行网站不会给用户留下任何别的视觉陈迹,纵然受益者会反省URL地点栏中的SSL证书,他也只会看到实在银行网站的证书。

当入侵攻击者盼望将资金从受益人的银行账户转出时,他们平日在银行业务会话中面对额定的网安成绩。经由过程一个控制面板,讹诈者可以或许与他们的受益者停止交互,而此时的受益者仍旧只看到一个“please wait”新闻。在入侵攻击者的操纵下,“please wait”新闻页面会被别的的捏造页面调换,这些捏造页面用于盗取入侵攻击者履行电子诱骗所需的信息。这些捏造的哀求页面是入侵攻击者经心结构的,以用来引诱受益者答复他们,这些谜底平日包含署名令牌,是入侵攻击者供给诱骗受益者帐户所需的末了一条信息。

检测Web捏造

Web捏造平日也被称为重定向入侵攻击,因为与正当银行服务器的独一衔接是由木马自己停止的衔接(受益者提议的衔接被重定向到了恶意病毒木马服务器),是以该范例的网络入侵攻击很难从银行的服务器端停止检测。一般地,受益者阅读银行网站时与正当银行服务器树立的衔接平日在阅读器的URL地点栏中会表现“网安衔接”的图标,并表现正当银行网站的SSL证书。 TrickBot在其重定向入侵攻击中天生的初始SSL衔接或允许以或许在银行网站的服务器日记中检测到。当客户阅读网上银行平台时,阅读器中会加载一个迎接或登录流派页面,并包含该网页上的一切资本信息(比方image,内部scripts等等)。对这些资本的每一个哀求都邑在服务器日记记载中天生一个条款。然则,TrickBot的SSL衔接彷佛并无加载一切这些资本。这类缺乏资本的非常加载征象可以或许是一个很好的特性以用来检测TrickBot。

服务器端注入

TrickBot的服务器端注入是一种网络注入技巧,它将额定的客户端代码(比方HTML,JavaScript)拔出或许注入到目的网页中。在TrickBot的Web injects设置装备摆设列表(如图1所示)中,服务器端注入应用dinj标签界说。当受益者阅读到目的网站(即银行网站)时,该银行服务器的相应在发送给用户以前被TrickBot拦阻(如图3所示),而后银行的相应将发送到入侵攻击者的服务器上(如图4所示)。入侵攻击者的服务器将在网页中注入额定的代码(服务器端注入),并将注入后的成果发送给受益者。

\

图3:服务器端注入过程

\

图4:入侵攻击者服务器获得到银行发来的相应

起首,将全部页面发送到入侵攻击者服务器(只是为了恶意病毒木马服务器可以或许将其恶意病毒木马代码注入到失常的相应中)的这类战略可以或许会招致许多不用要的开支。这与别的较老的银行木马(如Zeus和SpyEye)应用的客户端Web injects战略分歧,客户端Web injects可以或许有用削减入侵攻击者服务器所需的带宽和处置才能。较旧的银行特洛伊木马平日将注入代码作为其设置装备摆设的一部门,应用data_before/data_ends标签和data_inject标签来界说。但客户端注入的毛病是,网安研究职员可以或许很容易经由过程剖析接收到的设置装备摆设来断定目的网站能否被注入了恶意病毒木马代码。是以,服务器端注入是一种较为“聪慧”的伎俩,应用该办法可以或许尽可以或许的暗藏其设置装备摆设计划,以免遭网安专业职员的阐发。

服务器端注入的代码平日用来实行社会工程学入侵攻击,比方实行Web捏造。然则,另一个流行的注入代码战略是“表单抓取”。与密钥记载分歧,“表单抓取”代码用于获得HTML表单中的信息,该代码容许木马捕捉并盗取表单中存在的敏感信息,而密钥记载则会捕捉用户输出的一切数据。别的,抓取的数据会被标志,比方标志为暗码等,这在一定程度上大大简化了提取过程。密钥记载平日会在其日记中天生大批渣滓数据,每每阐发职员必要消耗大批的光阴去查找有用的信息。别的,表单抓取另一个长处就是在履行的过程中不必要操纵者对其停止及时相应。比方一个表单抓取器,它可以或许获得在亚马逊网络市肆中提交的信用卡号码。这些信用卡号码可以或许被捕捉并存储在数据库中以供未来应用。图5中展示了服务器端Web injects入侵攻击的流程,此中应用了社会工程学和表单抓取。在这类情况下,受益者不停在“期待”服务器的相应,而入侵攻击者则在后盾冷静的对其账户实行网络入侵攻击。

\

图5:服务器端Web injects入侵攻击的过程

服务器端注入的检测

因为阅读器出现的大部门代码仍来源于银行的正当服务器,是以从银行的角度来看,服务器端的Web injects比Web捏造更易于检测。因为银行的服务器可以或许指定部门衬着的代码,是以它也可以或许指定阅读器对衬着的代码停止完整性反省。这类完整性反省可以或许是一个集成在银行流派网页上的JavaScript,以用来反省网页能否被注入恶意病毒木马代码(比方“表单抓取”代码)。卖力完整性反省的代码固然也可以或许由入侵攻击者经由过程注入“反完整性反省”的代码来绕过,以是这类检测办法的症结是要很好地暗藏反省或许常常转变它们的代码完成,这类技巧在一篇博士论文中被称为“防备基于阅读器的数据渗入渗出入侵攻击”,概况请点击这里。与这篇博士论文中提到的技巧相似,该网站上论述的代码改动检测技巧也可以或许用来反省网页能否被注入恶意病毒木马代码。

在我查询拜访TrickBot的时刻,我注意到偶然TrickaBot会创立一个不是由银行服务器设置的cookie(如图6所示),这个名为'tknz_referrer'的cookie彷佛存储了与注入页面相干的进度或许状况信息。因为默许情况下,阅读器会将哀求中的一切Cookie绑定在一起发送给服务器。是以,检测银行服务器端的这类cookie彷佛是辨认网页能否被TrickBot沾染的一种抱负办法。

\

图6:TrickBot 天生的“tknz_referer”cookie

相关TAG标签 TrickBot 木马病毒
上一篇:僵尸网络Jenki家族IoT变种分析预警
下一篇:银行木马Retefe变种通过永恒之蓝肆虐多国银行网站,该如何预防病毒邮件?
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站