概述
Arbor安全工程与响应小组(ASERT)最近发布了一篇报告,揭示了复杂的银行恶意软件Neverquest或称Vawtrak进行逃避检测的技术细节,其中包括加密、匿名路由,甚至图片隐写技术。
ASERT的威胁情报及响应部门的负责人表示,他们关注Neverquest的最初原因是它对金融行业的冲击,检测结果表明,该恶意软件的结构极端复杂,并采取了很多防止研究人员进行检测分析的手段。该软件冲击了25个国家的超过100家大型金融机构。
它通过第三方恶意软件安装器将自己安装在用户的终端机上,然后使用多种方式盗取银行账户信息,包括开户人的社交网络和Email信息。Neverquest的主要目的应该是盗取银行客户的证书信息。
一旦黑客获得了这些证书信息,就可以通过用户的PC端实际登录到银行页面,而并不是通过某个可疑地址进行登录,因此银行很难察觉有东西出了差错。Neverquest一旦获得了用户的系统控制权,就会试图操纵进行银行转账。它还能绕过用户采取的大多数安全措施,而用户自身往往相信这些安全措施能够保护他们。
然而该恶意软件并不仅仅能绕过银行的安全系统和用户的杀毒软件。恶意软件的编写者使用了混淆技术,这使得安全研究人员很难搞懂它是如何工作的,也很难找到应对策略。
研究人员表示,Neverquest远远超出了传统检测的范畴,比如杀毒软件。杀毒软件从来就难以跟上恶意软件的发展步伐,恶意软件只需要改变自身的几个比特就可以绕过检测,哪怕用户运行的是最新版杀毒软件。
Neverquest在代码中使用了加密技术,因此很难研究它究竟在做什么。而且,它在与幕后服务器进行通信时同样使用了加密技术。它还使用了TOR匿名网络和图片隐写,这是一种将信息隐藏在图片中的技术。通过下载看上去完全无害的图片,该恶意软件可以从幕后服务器上获得升级版本。
Arbor公司正在抽丝剥茧对此软件进行分析,首先是检查硬编码命令和控制域,然后会研究一些.Onion域。研究人员表示,已经分离出了609个幕后服务器的位置,主要分布在东欧和西欧。
让研究人员感到震撼的是该软件中所包含的工作量极大。黑客的攻击目标是100~200个不同的金融机构,这些机构的相关网站有数百个。每个网站都有多个页面,可以进行网站注入,而每个页面本身又可能含有多个可注入点。软件编写者得以投入如此大的精力,可能是由于人们对恶意软件行业的关注度正在上升。
Sophos公司之前对该软件的研究表明,Neverquest是恶意软件代编写服务(Malware-as-a-service)的产品。
作者:Venvoo
来源:51CTO
最后
以上就是粗犷灰狼为你收集整理的使用多种逃避检测技术的银行恶意软件:Neverquest的全部内容,希望文章能够帮你解决使用多种逃避检测技术的银行恶意软件:Neverquest所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复