安全厂商发现银行恶意软件Pinkslipbot

专题库
CFCA信息安全实验室 来源:中国电子银行网 2017-06-23 10:17:44 银行恶意软件 信息安全

核心提示Pinkslipbot是一家臭名昭着的银行认证收获机,自2007年以来一直处于活跃状态。它主要针对位于美国境内的用户和企业,并包括用于密码窃取者,键盘记录器和浏览器攻击的组件,用于向导窃取各种信息。

  McAfee Labs发现,即使从安全产品中删除受感染机器窃取个人和财务数据的能力之后,Pinkslipbot(也称为QakBot / QBot)也将使用受感染的计算机作为控制服务器。这些包括计算机通常位于网络地址转换路由器后面的家庭用户。为此,Pinkslipbot使用通用即插即用(UPnP)打开端口,允许来自互联网上任何人的传入连接与被感染的机器进行通信。据我们所知,Pinkslipbot是第一个使用受感染机器作为基于HTTPS的控制服务器的恶意软件,第二个基于可执行文件的恶意软件在2008年臭名昭着的W32 / Conficker蠕虫病毒之后使用UPnP进行端口转发。

  Pinkslipbot是一家臭名昭着的银行认证收获机,自2007年以来一直处于活跃状态。它主要针对位于美国境内的用户和企业,并包括用于密码窃取者,键盘记录器和浏览器攻击的组件,用于向导窃取各种信息,包括信用卡,社会保险号码,在线帐户凭证,电子邮件密码,数字证书等。Pinkslipbot控制着超过50万感染机器的大型僵尸网络,每天窃取超过50万条记录。因此,恶意软件行业已经广泛记录了这种恶意软件。恶意软件作者显然受益于Pinkslipbot;他们自2007年以来一直保持代码库,并定期向其添加新功能。

  当Pinkslipbot于2015年12月重新出现时,我们分析了样本,并在2016年10月的病毒公告大会(VB2016)上发布了我们的研究结果。该报告描述了其使用“ATSEngine”自动从属于受感染用户的银行账户转账。当时,Pinkslipbot配备了一个具有清点功能的域生成算法来定位其控制服务器。在2016年4月26日之后,恶意软件将该算法作为备份选项的边缘,有利于每个样本中嵌入的控制服务器IP地址列表。由于许多IP地址属于合法组织,我们认为恶意软件作者故意将其包括在内,以阻止网络安全行业大幅地列出所有IP地址。

  原来我们在这个评估中错了。我们已经发现,IP地址列表完全由感染机器组成,这些机器作为实际控制服务器的基于HTTPS的代理。此设置(如下图所示)用于屏蔽Pinkslipbot控制服务器的真实IP地址。

安全厂商发现银行恶意软件Pinkslipbot

  我们的VB2016纸张还显示了所有服务器组件(控制服务器,JavaScript下载服务器,漏洞套件服务器)是如何互换和包含相同的功能。这一新发现继续保持这一信息。在Pinkslipbot使用的其他服务器组件上已经观察到所有与控制服务器相关的信息,如下所述。

  从受感染的机器到控制服务器代理

  确定受感染的机器是否有资格成为控制服务器代理的确切过程是未知的。然而,我们认为这一决定取决于感染机器满足三个因素的组合。

  ·IP地址位于北美

  ·高速上网

  ·能够使用UPnP打开Internet网关设备上的端口

  为了衡量互联网连接速度,恶意软件从美国的四个地点下载Comcast的速度测试服务的图像。

  ·http://sanjose.speedtest.comcast.net/speedtest/random750x750.jpg?x={random}&y=1

  ·http://boston.speedtest.comcast.net/speedtest/random750x750.jpg?x={random}&y=1

  ·http://jacksonville.speedtest.comcast.net/speedtest/random750x750.jpg?x={random}&y=1

  ·http://houston.speedtest.comcast.net/speedtest/random750x750.jpg?x={random}&y=1

  下载完成后,速度测试的结果将发送到控制服务器。

  Pinkslipbot二进制文件然后使用miniupnpc库发出简单服务发现协议数据包,并查找以下UPnP设备:

  ·urn:schemas-upnp-org:device:InternetGatewayDevice:1

  ·urn:schemas-upnp-org:service:WANIPConnection:1

  ·urn:schemas-upnp-org:service:WANPPPConnection:1

  ·upnp:rootdevice

安全厂商发现银行恶意软件Pinkslipbot

  一旦设备被发现,它们的描述被下载以寻找互联网网关设备(IGD)。这通过在设备描述中查找服务类型urn:schemas-upnp-org:service:WANCommonInterfaceConfig来完成。然后检查IGD的连接(例如,通过调用设备上的GetStatusInfo函数并确认返回的响应为“已连接”),并使用设备上的GetExternalIPAddress()函数检索外部IP地址。

  一旦IGD被发现,通过使用IGD上的AddPortMapping功能来创建端口转发规则。

安全厂商发现银行恶意软件Pinkslipbot

  恶意软件尝试端口转发27个内部和外部端口,如下所示。

  443*,465*,990*,993,995*,1194,2078*,2083,2087,2222*,3389,6881,6882,6883,8443*,32100,32101,32102,32103*,50000,50001,50002,50003,50010,61200*,61201*,61202

  如果任何端口转发请求成功(如果找到其他打开的端口),恶意软件将端口号保存到缓冲区,并删除端口映射规则。端口转发结果将使用HTTP POST请求提交给控制服务器:

  URL: hxxps://{control server-IP-Address}:{Port}/bot_servPOST-DATA:cmd=1&msg={obfuscated-string}&ports=993,80,465,21,50000,61200,61202

  基于这些数据,恶意软件作者决定受感染的机器是否可以用作控制服务器。一旦感染的机器被选中,“wgetexe”控制服务器命令(更准确地说,使用控制服务器协议版本14的命令25)被发布到受感染的机器,以将“木马”二进制文件下载为“tmp_ {timestamp} .exe”。负责控制服务器代理通信,正如我们将要解释的。

  下载的木马是代理组件的一个dropper。它根据操作系统在%APPDATA%或%ALLUSERSPROFILE%中创建以下文件。

  HardwareMonitor\hardwaremonitor.dll

  ·The proxy component

  HardwareMonitor\hardwaremonitor.ini

  ·Contains the Pinkslipbot BOTID stored under the field “n”

  ·Contains available ports for mapping stored under the field “prt”

  文件hardwaremonitor.dll(最初由恶意软件作者创建为supernode_con.dll)创建为通过使用rundll32.exe调用导出功能(HwmonServerMainNT或HwmonServerMain)启动的新”hwmon”服务。还为rundll32.exe创建防火墙规则。

  当作为服务启动时,代理组件与原始的Pinkslipbot示例一样创建端口转发规则(使用描述“NAT-PMP {port} tcp”),但这次不会删除它们。受感染的机器现在可以通过HTTPS用作控制服务器。此阶段的代理组件将通过其硬编码的代理服务器之一与以下HTTPS POST请求联系实际的控制服务器:

  URL:https://{proxy-IP}/gwsup

  POST-DATA:n={BOTID}&rt={IsWinNT}&prt={UPnP-Forwarded-Port}&os={OS-Version}&ver={MajVer}.{MinVer} &upnp_stat={UPnP-Status}&upnp_descr={UPnP-Port-Forward-Description}

  受感染的机器一旦收到来自新的Pinkslipbot感染的控制服务器请求,它将使用流行的libcurl URL传输库将所有流量通过附加代理路由到真正的控制服务器。与原始恶意软件一样,来自实际控制服务器的响应将被解析,并使用硬编码的RSA公钥(使用MatrixSSL库)验证数字签名。为了掩盖其对外界的影响,来自真正的控制服务器(运行Apache)的响应被修改为看起来像是在运行nginx版本1.9.12的服务器上托管。

安全厂商发现银行恶意软件Pinkslipbot

  这一步与我们以前在VB2016论文中的发现一致,其中我们看到在控制服务器通信期间,一个nginx服务器响应特定的错误消息(请参见第6页),表明存在位于Pinkslipbot控制服务器上的基于卷曲的代理服务器。然而,当时我们不知道这是如何实现的,或者卷曲部分居住在哪里。在代理组件DLL中存在相同的错误消息确认了其响应控制服务器请求的目的。

安全厂商发现银行恶意软件Pinkslipbot

  两个自定义HTTP标头也传递给硬编码的代理服务器,以指示发出请求的受感染机器的IP地址,受感染机器的Pinkslipbot BOTID作为代理服务器。

安全厂商发现银行恶意软件Pinkslipbot

  由于Pinkslipbot控制服务器协议基于HTTPS,因此需要服务器端证书进行操作。它通过使用使用libcurl构建的OpenSSL库为每个新连接生成新的自签名证书,从而获得这一点。生成的证书将为以下证书属性发出随机值:

安全厂商发现银行恶意软件Pinkslipbot

  注:

安全厂商发现银行恶意软件Pinkslipbot

  恶意软件作者需要额外的努力,使生成的证书看起来是合法的,确保:

  ·组织属性以公司或LLC结尾。

  ·通用名称属性使用以下顶级域之一:

  .com

  .net

  .org

  .biz

  .us

  .info

  .mobi

  用户建议

  由于UPnP假定本地应用程序和设备是值得信赖的,因此它不提供安全保护,并且易受网络上任何受感染机器的滥用。我们观察到多个Pinkslipbot控制服务器代理托管在同一家庭网络上的不同计算机上,以及似乎是公共Wi-Fi热点。由Pinkslipbot创建的端口转发规则太通用,无法自动删除,而不会造成网络错误配置的风险。而且由于大多数恶意软件不会干扰端口转发,反恶意软件解决方案可能无法恢复这些更改。不幸的是,这意味着即使您的反恶意软件产品已经从系统中成功删除了所有的Pinkslipbot二进制文件,您的计算机仍然可能会受到外部攻击。为确保您的计算机无法从互联网无意中访问,我们建议您下载我们下一部分中列出的免费实用程序,以查找Pinkslipbot控制服务器代理感染并删除恶意端口映射。即使没有UPnP元素,Pinkslipbot仍然是一种危险的木马,可以造成很大的伤害。几年前,它通过强大的网络凭据在网络上传播,从而锁定Active Directory。我们建议您遵循McAfee Threat Advisory for W32 / Pinkslipbot中发布的建议。

  从一般网络安全的角度来看,我们很惊讶地看到一个银行特洛伊木马使用复杂的多级代理进行基于HTTPS的控制服务器通信,特别是考虑到它使用UPnP将家庭用户感染重新调整为控制服务器。除了2009年由安全研究人员和W32 / Conficker蠕虫病毒创建的2008年概念证明,恶意软件恶意使用UPnP的信息很少。随着越来越多的人使用具有内置UPnP功能(默认启用)的路由器,我们预计这种变化很快。许多物联网设备都在UPnP上工作,并且每天都在更多人安装和使用。网络犯罪分子越来越普遍,将会看到有恶意使用UPnP的机会。我们建议用户按照本地端口转发规则进行选择,并在家庭路由器上禁用UPnP,除非需要它。

  Pinkslipbot控制服务器代理检测和端口转发删除工具

  如果您的系统感染了W32 / PinkSlipbot(Qakbot / QBot),您的计算机可能仍然是恶意软件的控制服务器代理。即使您的安全产品已经删除了所有恶意组件,如果可以通过Internet访问,您的计算机可能容易受到攻击。为了帮助您在计算机和网络上识别此漏洞,我们开发了一种特定于此恶意软件的免费端口转发检测和删除工具。该实用程序还将检测到Pinkslipbot控制服务器代理服务,如果找到并禁用(虽然不删除)该服务。

  该工具可以在这里下载。默认情况下,该工具以检测模式运行,如果发现恶意元素,则不会对系统或路由器配置进行任何更改。

  被攻击标识

  这些文件中的一个或多个:

  ·%APPDATA%\HardwareMonitor\hardwaremonitor.dll

  ·%ALLUSERSPROFILE%\HardwareMonitor\hardwaremonitor.dll

  ·%APPDATA%\HardwareMonitor\hardwaremonitor.ini

  ·%ALLUSERSPROFILE%\HardwareMonitor\hardwaremonitor.ini

  使用名称”hwmon”创建的服务和包含”rundll32.exe”的二进制路径。

  使用描述“NAT-PMP {port} tcp”并且没有到期时间,为其中一个端口启用TCP端口转发:

  ·443,465,990,939,995,1194,2078,2083,2087,2222,3989,6881,6882,6883,8443,32100,32101,

    32102,32103,5500,50001,50002,50003,50010,61200,61201,61202

  与这些IP地址的连接:

  ·158.255.2.138

  ·185.162.8.190

  ·185.169.229.168  

责任编辑:韩希宇

为你推荐

    暂无相关推荐
    合作媒体

    中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网

    微信

    QQ

    微博