近日,Canthink網絡安全研究員發現了一種名為MnuBot的新型銀行木馬,它使用了一些非典型技巧在受感染主機上避免檢測。
據悉,這個木馬是用Delphi編寫的,目前僅以傳播巴西為目標進行傳播,其用來掩蓋流量的奇怪技巧引起了Canthink團隊的興趣。Canthink研究人員表示,這種新的銀行木馬是通過遠程Microsoft SQL(MSSQL)數據庫來控制的。
這不是典型的做法,大多數惡意軟件通過ping遠程定製的Web服務器(pinging remote custom-crafted web servers)或Web應用程序來操作,並且僅在極少數情況下惡意軟件實際上直接連接到數據庫。
而這個新型惡意軟件的源代碼包含加密的憑證,以連接到遠程MSSQL數據庫。在受害者的計算機上,惡意軟件在與初始化遠程服務器的連接之前便動態解密這些值。惡意軟件與其C&C服務器之間的所有通信均以SQL流量的形式出現。這包括查詢新命令和命令本身。
“最有可能的是,MnuBot的作者想要逃避基於惡意軟件流量的常規防病毒檢測,為此,他們決定用看似無辜的Microsoft SQL流量來包裝他們的惡意網絡通信。”不過這種設計還有其他優點:由於惡意軟件會定期從MSSQL服務器檢索其配置文件,並且沒有使用此數據作為固定代碼(hardwired),這使得MnuBot作者隨時可以進行全面控制,從而允許他們推動更新,以便與新銀行進行瞬間數據交換。
此外,如果MnuBot團隊認為安全研究員、銀行員工或執法機構正在追蹤他們的MSSQL數據庫,那麼惡意軟件就會變得完全沒有響應,連研究人員都無法對其進行反向工程,以研究其攻擊例程。
MnuBot實際上由兩個組件組成:第一部分是首先感染受害者的部分,它的主要作用是檢查AppData Roaming文件夾中是否有名為Desk.txt的文件,這種文件的存在表明受害者已經受到感染。如果不是這樣,這個MnuBot組件將創建這個文件,並打開一個新的桌面環境,使它將在用戶的視圖中隱藏起來。
而有關此隱藏桌面的數據存儲在Desk.txt文件內,因此第二階段惡意軟件知道在哪裡操作,它更類似於全功能遠程訪問木馬(RAT),這是與MSSQL數據庫進行通信的組件,根據收到的指令它可以:
閱讀更多 網絡安全焦點 的文章
