安全研究人员最近发现KRBanker家族新变种,其利用腾讯QQ空间的接口获取反弹连接IP,劫持本机DNS,拦截韩国银行网站钓鱼。本文将对其进行详细的分析。0×01 概况今天要介绍的是一款利用QQ空间反弹连接的恶意
安全研究人员最近发现KRBanker家族新变种,其利用腾讯QQ空间的接口获取反弹连接IP,劫持本机DNS,拦截韩国银行网站钓鱼。本文将对其进行详细的分析。0×01 概况今天要介绍的是一款利用QQ空间反弹连接的恶意 。
今天要介绍的是一款利用QQ空间反弹连接的恶意软件,这款软件主要通过溢出套件挂马,当通过挂马页面下载到机器上,利用QQ空间的信息获取反弹连接的服务器IP信息,通过下载另外的组件拦截韩国相关银行网站.窃取网银相关信息回传服务器。这个恶意软件属于KRBanker家族的新变种( Korea+Banker=KRBanker)流程,如下图所示
首先通过kaixin、 gondad等溢出套件挂马,当访问挂马站点时溢出成功会下载一个EXE,它会安装自启动在目标系统中。查询QQ号的昵称信息,获取命令与控制(command and control)服务器的IP,收集银行证书上传.并本地DNS服务器IP进行域名劫持。
黑客这么做的目的是利用QQ昵称保存IP信息,达到和动态域名相同的效果,一旦IP被封可以立即修改IP.同时也避免了使用动态域名被拦截的情况,比如国内的3322,f3322 等已经引起安全。而采用qq空间网站域名,可以绕过针对域名拦截的IDS设备,顺利查询到控制IP。
目前的网银机制主要包括密码,数字证书,手机短信,由于韩国的网银主要使用IE浏览器,并使用Activex作开发.其数字证书主要保存在磁盘上,包括%ProgramFiles%\NPKI和其他的U盘目录如下:
由于Krbanker木马将首选DNS服务器设置为127.0.0.1,这样所有的DNS请求将会转发给本机的53端口. Krbanker木马接收到域名请求会判断是否需要劫持域名,如果不需要劫持就构造一个域名查询的数据包直接发送到8.8.8.8获取真实IP反馈.如果需要劫持就到钓鱼站点. 拦截的银行包括韩国农协银行(NH Bank)、新韩银行,友利银行、韩亚银行、国民银行、韩国外换银行、韩国中小企业银行、邮政银行。同时拦截韩国的综合性入口网站.包括Naver、Nate、Daum.拦截的网站域名如下:
利用QQ这种方式传递信息和国外恶意代码利用社交网站做信息中转类似,都是为了IDS的检测,同时具有良好的稳定性.在钓鱼拦截方面之前的krbanker家族采用的是hosts文件修改方法,而新的变种采用了本机53端口方式进行劫持更加隐蔽。