使用多种逃避检测技术的银行恶意软件:Neverquest

安全
Arbor安全工程与响应小组(ASERT)最近发布了一篇报告,揭示了复杂的银行恶意软件Neverquest或称Vawtrak进行逃避检测的技术细节,其中包括加密、匿名路由,甚至图片隐写技术。

Arbor安全工程与响应小组(ASERT)最近发布了一篇报告,揭示了复杂的银行恶意软件Neverquest或称Vawtrak进行逃避检测的技术细节,其中包括加密、匿名路由,甚至图片隐写技术。

[[132151]]

ASERT的威胁情报及响应部门的负责人表示,他们关注Neverquest的最初原因是它对金融行业的冲击,检测结果表明,该恶意软件的结构极端复杂,并采取了很多防止研究人员进行检测分析的手段。该软件冲击了25个国家的超过100家大型金融机构。

它通过第三方恶意软件安装器将自己安装在用户的终端机上,然后使用多种方式盗取银行账户信息,包括开户人的社交网络和Email信息。Neverquest的主要目的应该是盗取银行客户的证书信息。

一旦黑客获得了这些证书信息,就可以通过用户的PC端实际登录到银行页面,而并不是通过某个可疑地址进行登录,因此银行很难察觉有东西出了差错。Neverquest一旦获得了用户的系统控制权,就会试图操纵进行银行转账。它还能绕过用户采取的大多数安全措施,而用户自身往往相信这些安全措施能够保护他们。

然而该恶意软件并不仅仅能绕过银行的安全系统和用户的杀毒软件。恶意软件的编写者使用了混淆技术,这使得安全研究人员很难搞懂它是如何工作的,也很难找到应对策略。

研究人员表示,Neverquest远远超出了传统检测的范畴,比如杀毒软件。杀毒软件从来就难以跟上恶意软件的发展步伐,恶意软件只需要改变自身的几个比特就可以绕过检测,哪怕用户运行的是最新版杀毒软件。

Neverquest在代码中使用了加密技术,因此很难研究它究竟在做什么。而且,它在与幕后服务器进行通信时同样使用了加密技术。它还使用了TOR匿名网络和图片隐写,这是一种将信息隐藏在图片中的技术。通过下载看上去完全无害的图片,该恶意软件可以从幕后服务器上获得升级版本。

Arbor公司正在抽丝剥茧对此软件进行分析,首先是检查硬编码命令和控制域,然后会研究一些.Onion域。研究人员表示,已经分离出了609个幕后服务器的位置,主要分布在东欧和西欧。

让研究人员感到震撼的是该软件中所包含的工作量极大。黑客的攻击目标是100~200个不同的金融机构,这些机构的相关网站有数百个。每个网站都有多个页面,可以进行网站注入,而每个页面本身又可能含有多个可注入点。软件编写者得以投入如此大的精力,可能是由于人们对恶意软件行业的关注度正在上升。

Sophos公司之前对该软件的研究表明,Neverquest是恶意软件代编写服务(Malware-as-a-service)的产品。

原文地址:http://www.aqniu.com/tools/7369.html

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2013-12-12 16:23:58

2012-11-19 13:25:21

2019-02-19 09:25:42

2023-06-25 18:00:00

人工智能ChatGPT网络安全

2015-05-08 12:24:10

恶意软件逃避技术

2016-11-13 16:46:49

2023-11-08 14:23:55

2023-02-17 10:57:17

2014-12-24 09:21:42

2015-10-29 10:05:23

2024-08-06 09:48:49

2011-08-23 13:45:46

2017-05-03 14:57:34

2020-09-21 06:47:11

勒索软件VMMaze

2016-04-19 10:02:35

2019-12-20 16:34:32

网络安全软件电脑

2015-03-31 09:23:55

2013-12-25 09:59:48

2014-03-13 09:28:34

2013-03-27 09:36:49

点赞
收藏

51CTO技术栈公众号