詳解網路銀行木馬DYRE，第一部

假日季節正在接近了，你們有些人或許已經提早進行假日採購了–檢查錢包來趕上購物熱潮。假日季節也帶來了每年都會在這段時候出現的網路犯罪活動：

我們已經看到大量偽造的銀行電子郵件。我們也看到其他類型的垃圾郵件威脅，包括KELIHOS，VAWTRACK，甚至某些形式的419騙局。
我們也目睹了銀行惡意軟體的增加。這個惡意軟體家族變種試圖竊取敏感資訊，如銀行認證資訊和電子郵件帳號詳細資料。它們會利用資訊竊取技術，通常會偽造跟銀行網站一模一樣的釣魚網頁，用來擷取使用者的銀行資訊，如使用者名稱、密碼或卡號。再將竊來的資訊發送到一個預先設定的電子郵件地址，代管伺服器的暫存區或透過HTTP post發送到一網址去。

此一系列的文章著重於一特定銀行惡意軟體，被偵測為TSPY_BANKER.DYR。在深入瞭解惡意軟體本身後，我們會將這惡意軟體威脅放入整個生態系，加上其連結的的垃圾郵件，甚至包裹騾子詐騙（指將包裹寄送到別的地方的人，就跟「驢子」一樣）。這些人很容易落入騙局，因為打著「容易致富」的名號。

關於DYR的一切

這被偵測的惡意軟體跟DYRE（也被稱為DYREZA，DYRANGES或BATTDIL）有關。TSPY_BANKER.DYR跟DYRE變種有許多相似之處，可以從其行為看出：

可以透過瀏覽器注入來進行中間人攻擊。此外也可以進行瀏覽器截圖，竊取個人認證資訊，並竊取如瀏覽器版本等資訊。
它竊取銀行認證資訊和監視對特定銀行進行線上交易時的連線。
它會植入一個設定檔（透過C&C更新），裡面包含了目標銀行列表和bot ID（由電腦名稱、作業系統版本和一組32個字元識別碼所組成）。目標銀行包括了國際、美國和歐洲銀行。
它利用NAT會話傳輸應用程式（STUN），一種位在NAT網路內之終端主機找出其公開IP地址的方法。它常被即時語音、視訊和其他訊息服務應用程式用來找出公開IP位址或是可被網際網路所見之IP地址。犯罪分子使用這種方法來知道其惡意軟體的確切位置（並可能知道誰試著去加以執行）。

圖1、STUN的截圖

看看其網路行為來確認上面所描述的細節：

圖2、TSPY_BANKER.DYR的網路行為

進入點

我們現在知道這惡意軟體會做什麼，但它如何進入和感染系統呢？

看看C&C伺服器連線（端口443），這個端口是HTTPS，意思是網路交易中涉及憑證。從擷取的封包中取出憑證後，我們可以拿到兩個憑證。第一個憑證自稱來自Google。跟真正的Google憑證相比較，你可以看出兩者間的差異。

圖3、假的 Google憑證

圖4、真的Google憑證

同時，第二個證書包含一特定值，這其實是用OpenSSL做出自簽證憑證時的預設輸入資料。

圖5、第二個可疑憑證

圖6、預設資料輸入

在SSL和HTTPS的設計中，一個可信任網站的特點之一是需要有經過可信任認證機構（CA）認證的憑證。使用（或重複使用）上面所顯示的相同憑證清楚地指出網站本身不值得信賴。

類似的嫌疑犯

我們決定交叉比對重複使用這些憑證和會存取相同性質惡意軟體的其他網站。我們找到兩個被我們偵測為TSPY_ZBOT.WCDA和TROJ_UPATRE.WCDA的檔案。我們接著檢查它們和我們原本的惡意軟體（TSPY_BANKER.DYR）是否有共同之處，看看這兩個檔案的網路活動。

圖7、感染TSPY_ZBOT.WCDA系統的網路活動

我們也檢查HTTP標頭來看看還有什麼問題，我們找到對C&C伺服器的HTTP GET請求。

圖8、HTTP Get請求

上述的網路活動有些驚人的相似之處，即：

垃圾郵件連線

感染後的行為並不是TSPY_BANKER.DYR和TSPY_ZBOT.WCDA和TROJ_UPATRE.WCDA之間唯一的相似之處。它們也用相同的方法抵達。我們交叉比對相同時段內的此類惡意軟體活動，找到這封垃圾電子郵件。

圖9、垃圾電子郵件樣本

這封電子郵件假裝來自蘇格蘭皇家銀行（RBS）。分析後顯示以下事項：

它用zip作為附件檔。解開後出現帶有PDF圖示，稱為RBS_Account_Documents.scr的檔案。此檔被偵測為TROJ_UPATRE.WCDA。
接著被植入的檔案是exe，被我們偵測為TSPY_ZBOT.WCDA。
事實上，HTTP GET請求 /ProfilePics/0809uk1.zip（如圖 8所示）可以被解讀為：
- 0809 – 可能是9月8日，我們看到所有的這些惡意軟體和垃圾郵件的日期
- UK – 可能是指英國，RBS總部的大概位置

感染系統是DYR惡意軟體的最後一步了嗎？並不是。除了竊取銀行認證資訊，DYR惡意軟體還涉及另一種威脅 – 包裹騾子詐騙。相關細節將在此系列文章的第二部內討論。