DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

Zeus Panda Banker银行木马变种分析

09-17 WEB安全

一、概述(前言)
从2007年开始,ZeusPanda Banker 银行木马已经演变出了很多不同的变种版本并展开攻击,近日360企业安全华南基地反病毒团队检测到Zeus Panda Banker通过仿冒邮件又发起新一轮网络攻击。新变种病毒Zeus Panda Banker使用了更高强度的代码加密技术,更灵活更强大的恶意插件分发,盗取用户的银行账户、窃取受害者信息,攫取钱财。
后门病毒Zeus Panda Banker通过伪装成 “您的信用卡在苹果商城消费了了2812.56美元”的邮件进行传播,用户点击恶意链接后,将会下载的Word文档。

Zeus Panda Banker银行木马变种分析


盗取其银行账户同时还会收集用户计算机内的数据信息,包括系统版本,CPU情况,内存,用户名,系统中的服务项,浏览器中保存的密码、证书等信息等。不仅如此,木马可随时通过远程操控进行模块下发安装VNC模块,键盘记录,截屏等功能
二、技术细节详细分析
用户点击恶意链接后,将会下载的Word文档(如下图),病毒作者将文档伪造成内容被加密保护,用户必须开启宏才可以显示内容,为了防止分析,病毒作者将宏代码高度混淆加密

Zeus Panda Banker银行木马变种分析


Zeus Panda Banker使用ZwWriteVirtualMemory将解密后的PE文件写入到svchost

Zeus Panda Banker银行木马变种分析


a)   攻击流程图& Shellcode

Zeus Panda Banker银行木马变种分析


Zeus Panda Banker通过 shellcode解密出一个新的Win32PE文件并加载到自身内存空间执行,然后进行修复导入表、重定位、最后修正OEP开始执行功能代码
解密出的EXE的OEP:

Zeus Panda Banker银行木马变种分析


b)  反调试检测
通过遍历进程列表、读取注册表、文件路径和一些系统监控工具的设备名称,判断是否被反病毒人员进行分析,如果检测到有以下环境,则不做任何事情并结束进程
检测广告弹窗杀手:
C:\popupkiller.exe、C:\stimulator.exe、C:\TOOLS\execute.exe
检测沙箱环境:
SbieDll.dll
andboxie_SingleInstanceMutex_Control  (互斥体名称)
Frz_State (冰点还原-互斥体名称)
检测Wireshark:
\\.\NPF_NdisWanIp驱动设备名
Wireshark 进程名
检测Wine环境:
Kernel32.wine_get_unix_file_name导出函数
HKEY_CURRENT_USER\Software\WINE 注册表项
检测进程列表:
Immunity、processhacker、procexp、procmon、idaq、reghot、aut2exe、perl、python
检测监控软件驱动设备名:
\\.\REGVXG Regmon
\\.\FILEVXG  Filemon
\\.\REGSYS   RegMON
\\.\FILEM    FileMON
\\.\TRW    TRW2000

Zeus Panda Banker银行木马变种分析


使用CRC32计算DLL模块导出表函数名称,得到hash后对比。计算硬盘序列号的CRC32值,创建互斥体等

Zeus Panda Banker银行木马变种分析


使用RC4解密硬编码的字符串,并且每个加密字符串的密钥都是唯一的,以此来增加静态分析难度

Zeus Panda Banker银行木马变种分析


SHA256 用来加密用户电脑名称或系统安装时间,作为互斥体名称

Zeus Panda Banker银行木马变种分析


导入RSA密钥,加密HTTP数据,上传到C&C服务器
 

Zeus Panda Banker银行木马变种分析


释放自身到C:\Users\user\AppData\Roaming\[任意目录]\ MDeskTopGC.exe,添加注册表启动项

Zeus Panda Banker银行木马变种分析


c)   注入Svchost.exe
木马以远程线程的方式将自身注入到svchost进程中,以svchost做为傀儡进程,执行木马的功能

Zeus Panda Banker银行木马变种分析


创建多个子线程,功能包括:初始化GDI函数截屏、修改浏览器配置,释放DLL、写入注册表启动项、监控注册表、启动项文件、防止删除自保护、上传用户数据、上传截屏以及键盘记录日志

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/92.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 670956访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X