近日,Canthink网络安全研究员发现了一种名为MnuBot的新型银行木马,它使用了一些非典型技巧在受感染主机上避免检测。
据悉,这个木马是用Delphi编写的,目前仅以传播巴西为目标进行传播,其用来掩盖流量的奇怪技巧引起了Canthink团队的兴趣。Canthink研究人员表示,这种新的银行木马是通过远程Microsoft SQL(MSSQL)数据库来控制的。
这不是典型的做法,大多数恶意软件通过ping远程定制的Web服务器(pinging remote custom-crafted web servers)或Web应用程序来操作,并且仅在极少数情况下恶意软件实际上直接连接到数据库。
而这个新型恶意软件的源代码包含加密的凭证,以连接到远程MSSQL数据库。在受害者的计算机上,恶意软件在与初始化远程服务器的连接之前便动态解密这些值。恶意软件与其C&C服务器之间的所有通信均以SQL流量的形式出现。这包括查询新命令和命令本身。
“最有可能的是,MnuBot的作者想要逃避基于恶意软件流量的常规防病毒检测,为此,他们决定用看似无辜的Microsoft SQL流量来包装他们的恶意网络通信。”不过这种设计还有其他优点:由于恶意软件会定期从MSSQL服务器检索其配置文件,并且没有使用此数据作为固定代码(hardwired),这使得MnuBot作者随时可以进行全面控制,从而允许他们推动更新,以便与新银行进行瞬间数据交换。
此外,如果MnuBot团队认为安全研究员、银行员工或执法机构正在追踪他们的MSSQL数据库,那么恶意软件就会变得完全没有响应,连研究人员都无法对其进行反向工程,以研究其攻击例程。
MnuBot实际上由两个组件组成:第一部分是首先感染受害者的部分,它的主要作用是检查AppData Roaming文件夹中是否有名为Desk.txt的文件,这种文件的存在表明受害者已经受到感染。如果不是这样,这个MnuBot组件将创建这个文件,并打开一个新的桌面环境,使它将在用户的视图中隐藏起来。
而有关此隐藏桌面的数据存储在Desk.txt文件内,因此第二阶段恶意软件知道在哪里操作,它更类似于全功能远程访问木马(RAT),这是与MSSQL数据库进行通信的组件,根据收到的指令它可以:
閱讀更多 網絡安全焦點 的文章
