詳解網路銀行木馬DYRE,第二部

在本系列文章的第一部中,我們討論了銀行惡意軟體DYRE的行為和進入點。然而,資料竊取並非此惡意軟體的最後一步。這惡意軟體還參與了另一項計畫 – 包裹騾子騙局

包裹和騾子

在我們分析DYR惡意軟體時,也發現了一個網頁控制台 – Global BlackPoint

圖1、Global BlackPoint網站

快速地進行線上搜尋,此網域已經出租一年多了。網站使用者可以購賣其所想要的東西。

圖2、待售物品

然而,研究和有關此網頁控制台內容的情報都指出一個事實,它被用作購買美國商品,再將其重新寄送到不同的地方。該網站在其使用條款內指明了這一點。  繼續閱讀

詳解網路銀行木馬DYRE,第一部

假日季節正在接近了,你們有些人或許已經提早進行假日採購了–檢查錢包來趕上購物熱潮。假日季節也帶來了每年都會在這段時候出現的網路犯罪活動:

Troj1

  • 我們已經看到大量偽造的銀行電子郵件。我們也看到其他類型的垃圾郵件威脅,包括KELIHOSVAWTRACK,甚至某些形式的419騙局
  • 我們也目睹了銀行惡意軟體的增加。這個惡意軟體家族變種試圖竊取敏感資訊,如銀行認證資訊和電子郵件帳號詳細資料。它們會利用資訊竊取技術,通常會偽造跟銀行網站一模一樣的釣魚網頁,用來擷取使用者的銀行資訊,如使用者名稱、密碼或卡號。再將竊來的資訊發送到一個預先設定的電子郵件地址,代管伺服器的暫存區或透過HTTP post發送到一網址去。
    網路購物 線上購物  buy

此一系列的文章著重於一特定銀行惡意軟體,被偵測為TSPY_BANKER.DYR。在深入瞭解惡意軟體本身後,我們會將這惡意軟體威脅放入整個生態系,加上其連結的的垃圾郵件,甚至包裹騾子詐騙(指將包裹寄送到別的地方的人,就跟「驢子」一樣)。這些人很容易落入騙局,因為打著「容易致富」的名號。

關於DYR的一切

這被偵測的惡意軟體跟DYRE(也被稱為DYREZA,DYRANGES或BATTDIL)有關。TSPY_BANKER.DYR跟DYRE變種有許多相似之處,可以從其行為看出:

  • 可以透過瀏覽器注入來進行中間人攻擊。此外也可以進行瀏覽器截圖,竊取個人認證資訊,並竊取如瀏覽器版本等資訊。
  • 它竊取銀行認證資訊和監視對特定銀行進行線上交易時的連線。
  • 它會植入一個設定檔(透過C&C更新),裡面包含了目標銀行列表和bot ID(由電腦名稱、作業系統版本和一組32個字元識別碼所組成)。目標銀行包括了國際、美國和歐洲銀行。
  • 它利用NAT會話傳輸應用程式(STUN),一種位在NAT網路內之終端主機找出其公開IP地址的方法。它常被即時語音、視訊和其他訊息服務應用程式用來找出公開IP位址或是可被網際網路所見之IP地址。犯罪分子使用這種方法來知道其惡意軟體的確切位置(並可能知道誰試著去加以執行)。

繼續閱讀

現代 ”迪林傑黑幫”-銀行大盜的四個攻擊面向

約翰迪林傑因為在經濟大蕭條時搶劫了二三十家銀行而惡名昭彰。他和他的同黨因著三種策略而成功:他們會研究下手機構並了解他們的安全措施和做法;他們有著優勢火力;以及他們有著更快的車子,所以他們可以跨州逃亡。現代的迪林傑黑幫出現在前蘇聯集團中。這些網路黑幫從全球金融機構竊取了數十億美金。我們從他們先進的策略中學到很重要的事情。在2014年,針對金融機構的有組織網路攻擊出現重要的轉折。優秀的「保險箱破解專家」現在從四個面向侵入:

網頁應用程式攻擊:網頁應用程式的零時差漏洞被廣泛地用來攻擊金融機構。一個重要的歐洲金融機構在7月 24日遇上一次,就如同部分美國機構一樣。

水坑攻擊:在水坑攻擊中,威脅分子會入侵金融機構網站內的特定網頁,插入會導致惡意軟體感染的漏洞攻擊碼;這類攻擊有25%位在美國。這是因為缺乏對OWASP前十大漏洞的網站安全防護和測試。

認證資訊攻擊:Emmental攻擊活動(由趨勢科技所發現)可見一斑,駭客開發自製的惡意軟體來繞過雙因子身份認證,並從註冊表刪除其足跡以避免被偵測。

跳島和二次感染:針對金融機構的「虛擬供應鏈」進行針對性攻擊的例子到處都是。除了這交易對手風險的新動力,還會廣泛利用之前安裝在受信任系統的後門程式來進行二次感染。後門程式 – 讓電腦可被遠端存取的應用程式 – 在針對性攻擊中發揮了至關重要的作用。後門程式通常會被用在針對性攻擊過程的第二(進入點)或第三(指揮和控制 [C&C])階段,好讓威脅份子可以取得對目標網路的指揮和控制能力。入侵外洩偵測系統是挫敗這類攻擊的關鍵。

2008年和 2009年的金融危機讓數以千計的銀行和金融專業人士失去工作。其中有一小部分將其金融專才和策略性知識借給地下影子經濟。有證據顯示網路犯罪分子現在將金融詐騙計畫融入網路攻擊。這些貨幣化的輔助計畫也預示了將會出現前所未見的犯罪浪潮。注:這些情境被詳細說明和預示在 2005年5月的世界銀行報告 – 「資本市場和電子詐騙」中。想知道這些騙局的說明,

請參閱:https://elibrary.worldbank.org/doi/book/10.1596/1813-9450-3586

由於網路犯罪人員組織程度和複雜度的增加,和執法單位合作已經是勢在必行。趨勢科技在過去25年來一直和國內及國際的執法單位合作。我們與國際刑警組織的合作關係以及最近協助歐洲刑警組織處理Gameover Zeus都說明了這一點。一個可以說明我們的合作的確有所必要的獨特案例是SpyEye。趨勢科技研究人員揭露了早在2011年1月就開始的SpyEye相關網路犯罪攻擊行動。這攻擊行動是由位於俄羅斯的「Soldier」(網路犯罪分子的代號)所策劃。趨勢科技研究人員自2011年3月開始就一直在監視Soldier和他的活動。根據調查,這波攻擊主要針對美國的使用者,受影響的包括一些大型企業和像美國政府和軍事機構等單位。事實上,有97%的受影響公司都位在美國。美國聯邦調查局成功起訴了在俄羅斯特維爾的「Gribodemon」Aleksandr Panin,因為他2014年1月在多明尼加度假。

只有透過全球合作才可以讓我們防禦企業來面對網路攻擊。現代的迪林傑黑幫不再會是「所向無敵」。

 

更多資源:

DTCC 最近發表了關於網路威脅和系統性風險狀態的簡報,也發表了一份白皮書來強調一些解決未來網路威脅的建議。你可以到這裡下載白皮書。

 

@原文出處:Modern Day Dillinger Gangs作者:Tom Kellermann(趨勢科技網路安全長)

 

POODLE漏洞讓網路交易陷入危險

Google的研究人員 – Bodo Möller、Thai Duong和Krzysztof Kotowicz發表了SSL 3.0一篇報告討論的一個嚴重漏洞,讓攻擊者能夠進行中間人攻擊和解密網站伺服器和使用者間的通訊。

資料外洩 信用卡 信上購物 網路銀行Info Snippet

比方說,如果你在網路上使用信用卡購物,你可能會認為你的資料是安全的,但因為這個漏洞(被稱為POODLE),它實際上可能是危險的。攻擊者可以劫持你的交易,取得你的信用卡資料,甚至變更你的訂單。

下面總結了此漏洞的一些關鍵要點:

  • CVE編號:CVE-2014-3566
  • 一般稱為:POODLE(Padding Oracle On Downgraded Legacy Encryption的縮寫)
  • 漏洞:SSL 3.0降級漏洞
  • 攻擊方式:中間人攻擊

POODLE攻擊如何運作?

根據該報告,關鍵問題是填充SSL 3.0區塊密文的完整性問題。協定並沒有驗證該填充。這會讓能夠成功劫持使用者和網站伺服器連線的攻擊者有辦法去修改SSL密文的最後一個區塊。導致攻擊者能夠成功地解密任何他們所能截取的加密流量。

SSL 3.0是一種舊的加密協定,已經有15年了。它已經由TLS(現在是1.2版)所取代。然而,如果連線有任一方不支援最新版本的話,TLS用戶端和伺服器將降級到較早版本的協定。

想想下面的可能狀況。瀏覽器支援到TLS 1.2版。在進行第一次握手(handshake)時,瀏覽器使用它所支援的最高版本(TLS 1.2)。如果這次握手失敗,瀏覽器會用較早的版本(TLS 1.1,然後TLS 1.0)繼續嘗試。攻擊者就可以讓瀏覽器降級到使用SSL 3.0,此時POODLE漏洞就可以被利用來解密雙方之間的任何通訊。

圖1:攻擊者可能會迫使用戶端和伺服器間的通訊從TLS降級到SSL 3.0,好能夠解密網路通訊

對策

禁用SSL 3.0協定就可以避免此漏洞。網站管理員可以從他們這邊禁用支援。例如這裡有說明介紹如何在Apache進行。  繼續閱讀

「不留痕跡」的惡意程式,專門鎖定行動網路銀行使用者

惡意 Android App 攔截銀行傳送密碼,專門破解連線階段密碼安全機制

趨勢科技發現了一個名為「Operation Emmental」(愛曼托行動) 的網路犯罪行動,專門攻擊網路銀行。當銀行及客戶利用手機簡訊 (SMS) 進行雙重認證時,駭客趁機竊取銀行客戶的登入帳號密碼並攔截簡訊,進而完全掌控帳戶。這項在奧地利、瑞典、瑞士相當盛行的犯罪行動目前已現身日本,因而使得亞太地區遭受類似攻擊的風險升高。

在這項攻擊行動當中,歹徒會先假冒知名銀行的名義散發垃圾郵件給使用者,引誘缺乏戒心的使用者點選一個惡意的連結或附件檔案,讓使用者的電腦感染一個特殊的惡意程式。有別於一般網路銀行惡意程式,此惡意程式會修改受感染電腦的網域名稱伺服器 (DNS) 組態設定,將DNS 設定指向歹徒掌控的DNS伺服器,然後再將惡意程式本身刪除,因此便不留痕跡,無法偵查。這雖然只是一個小小的修改,但對受害者的影響卻非常深遠。 

惡意 Android App 程式會偽裝成銀行連線階段密碼產生器。但事實上,它卻會攔截銀行所送出的密碼,並且將它轉傳到歹徒的幕後操縱 (C&C) 伺服器或歹徒的行動電話號碼。也就是說,網路犯罪者不僅透過網路釣魚(Phishing)網站取得了受害者的銀行登入帳號和密碼,現在更取得了網路交易所需的連線階段密碼。如此,犯罪集團便能完全掌控受害者的銀行帳戶。

您網路銀行帳號的防護很可能就像瑞士埃文達乳酪 (Swiss Emmental) 一樣千瘡百孔、充滿漏洞。長久以來,銀行一直試圖防止犯罪集團將黑手伸入您的網路帳號當中。密碼、PIN 碼、座標卡、交易認證碼 (TAN)、連線階段密碼等等,全都是用來防止銀行詐騙的措施。最近,趨勢科技發現一個專門破解連線階段密碼安全機制的網路犯罪行動,以下說明該行動的犯案手法。

該犯罪集團的目標是那些透過簡訊發送連線階段密碼到客戶手機的銀行。這是一種將客戶手機當成第二認證管道的雙重認證機制。當使用者要登入網路銀行網站時,銀行會利用簡訊傳送一串數字到使用者手機。使用者必須將這串數字,連同原本的使用者名稱和密碼,一起輸入到網站來進行網路交易。目前有某些奧地利、瑞典、瑞士及其他歐洲國家的銀行在使用這套機制。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

 

網路犯罪者會先發送假冒購物網站的電子郵件給這些國家的使用者。若使用者點選了其中的惡意連結或附件檔案,其電腦就會被惡意程式感染。到這裡,一切都像典型的攻擊,沒什麼特殊之處。

不過,接下來就很有意思。使用者的電腦其實也不算受到感染,總之,不像一般的銀行惡意程式那樣。惡意程式只會修改系統的組態設定,然後就將自己刪除。這招反偵測手法如何?雖然只是小小的改變…. 但影響卻非常深遠。

其運作方式如下:使用者電腦的 DNS 設定將被指向一個由網路犯罪者所掌控的國外伺服器。惡意程式在系統上安裝了一個惡意的 SSL 根憑證,如此一來,系統就會自動信任歹徒的惡意 HTTPS 伺服器,不讓使用者看到安全警告訊息。

圖 1:電腦感染 Emmental 行動惡意程式之後的雙重認證流程 繼續閱讀