窃取金融信息的恶意代码分析-恶意窃取他人信息

【51CTO.com快译】本次分析的恶意代码伪造windows系统DLL以加载追加感染的恶性DLL文件，试图窃取金融信息并进行伪造篡改，并且在网上金融交易时，攻击者通过执行MITB(Man-in-the-Browser，浏览器中间人)攻击来达成目的。

MITB攻击是指在金融交易时，不确认用户与供应商之间交易文件的完整性(尤其是检查JavaScript代码的完整性)，即使文件被伪造了也可以进行交易，攻击者利用该漏洞，在交易过程中窃取没有加密的区间的敏感信息并进行伪造和篡改。

本文将详细分析执行MITB攻击的窃取金融信息的恶意代码行为。

一、分析信息

1. 文件信息

2. 执行过程

宿主恶意代码感染掉几个文件并执行多样的行为。除去一些细节部分，主要的行为如下图所示。下图中，[Random_c].dll和[Random_d].dll是通过伪造的wshtcpip.dll和mdidmap.dll来进行加载并执行恶意行为的。

该恶意代码又称为“内存Hacking恶意代码”，那是因为通过该恶意代码，在金融交易时，必须加密的敏感信息在内存中临时被解码并且加载的数据被窃取或篡改。并且，攻击者分析在金融交易时使用的安全模块，并窃取该安全模块中有意义的数据。

二、恶意行为

1. 文件感染

宿主文件(本文中PrimePC.exe)执行时，%TEMP%路径下，以任意名称([tickCount].tmp)生成临时文件。该临时文件作为与宿主文件相同的文件，生成以后根据宿主文件重新执行。通过新的进程活动的临时文件变更宿主文件的内容，并在%TEMP%文件夹下面生成一个其他的文件名([tickCount].exe)的文件。

该文件再次感染若干文件，并且篡改正常的wshtcpip.dll和midimap.dll，然后妨碍特定的安全模块的行为。该文件感染的主要文件如下。

2. 系统DLL篡改

Windows的正常DLL文件wshtcpip.dll和midimap.dll被篡改为恶意DLL文件。被篡改的DLL是使用LoadLibrary各自加载“[RANDOM_02].dll(295KB)”和“[RANDOM_03].dll (28KB)”的作用。除此以外，剩下的部分与正常的文件相同。被加载的特定恶意DLL因为从宿主文件开始到%SYSTEM%文件夹下已经被感染，所以可以加载。

因此加载wshtcpip.dll和midimap.dll的进程被追加加载“[RANDOM_02].dll”和“[RANDOM_03].dll”。