使用多种逃避检测技术的银行恶意软件:Neverquest

简介:

Arbor安全工程与响应小组(ASERT)最近发布了一篇报告,揭示了复杂的银行恶意软件Neverquest或称Vawtrak进行逃避检测的技术细节,其中包括加密、匿名路由,甚至图片隐写技术。

使用多种逃避检测技术的银行恶意软件:Neverquest

ASERT的威胁情报及响应部门的负责人表示,他们关注Neverquest的最初原因是它对金融行业的冲击,检测结果表明,该恶意软件的结构极端复杂,并采取了很多防止研究人员进行检测分析的手段。该软件冲击了25个国家的超过100家大型金融机构。

它通过第三方恶意软件安装器将自己安装在用户的终端机上,然后使用多种方式盗取银行账户信息,包括开户人的社交网络和Email信息。Neverquest的主要目的应该是盗取银行客户的证书信息。

一旦黑客获得了这些证书信息,就可以通过用户的PC端实际登录到银行页面,而并不是通过某个可疑地址进行登录,因此银行很难察觉有东西出了差错。Neverquest一旦获得了用户的系统控制权,就会试图操纵进行银行转账。它还能绕过用户采取的大多数安全措施,而用户自身往往相信这些安全措施能够保护他们。

然而该恶意软件并不仅仅能绕过银行的安全系统和用户的杀毒软件。恶意软件的编写者使用了混淆技术,这使得安全研究人员很难搞懂它是如何工作的,也很难找到应对策略。

研究人员表示,Neverquest远远超出了传统检测的范畴,比如杀毒软件。杀毒软件从来就难以跟上恶意软件的发展步伐,恶意软件只需要改变自身的几个比特就可以绕过检测,哪怕用户运行的是最新版杀毒软件。

Neverquest在代码中使用了加密技术,因此很难研究它究竟在做什么。而且,它在与幕后服务器进行通信时同样使用了加密技术。它还使用了TOR匿名网络和图片隐写,这是一种将信息隐藏在图片中的技术。通过下载看上去完全无害的图片,该恶意软件可以从幕后服务器上获得升级版本。

Arbor公司正在抽丝剥茧对此软件进行分析,首先是检查硬编码命令和控制域,然后会研究一些.Onion域。研究人员表示,已经分离出了609个幕后服务器的位置,主要分布在东欧和西欧。

让研究人员感到震撼的是该软件中所包含的工作量极大。黑客的攻击目标是100~200个不同的金融机构,这些机构的相关网站有数百个。每个网站都有多个页面,可以进行网站注入,而每个页面本身又可能含有多个可注入点。软件编写者得以投入如此大的精力,可能是由于人们对恶意软件行业的关注度正在上升。

Sophos公司之前对该软件的研究表明,Neverquest是恶意软件代编写服务(Malware-as-a-service)的产品。

作者:Venvoo


来源:51CTO

相关文章
|
10天前
|
安全 网络安全 数据安全/隐私保护
社会工程学攻击:了解并预防心理操控的网络欺诈
社会工程学攻击:了解并预防心理操控的网络欺诈
23 7
|
6月前
|
安全 测试技术 网络安全
网络安全的行业黑话 ——攻击篇 之攻击者
网络安全的行业黑话 ——攻击篇 之攻击者
100 0
|
安全 数据安全/隐私保护
网络诈骗中的黑客手段
网络诈骗中的黑客手段
|
存储 安全
把恶意程序存储到DNA上?黑客们的又一新发现
本文讲的是把恶意程序存储到DNA上?黑客们的又一新发现,你知道吗?1克的DNA就可以存储1,000,000,000TB的数据1000多年。 在今年三月,有研究人员已经成功地将数字信息存储到DNA之上,其中包括一个完整的操作系统、一部电影、一张亚马逊礼品卡、一份研究报告甚至是一个计算机病毒。
1428 0
|
安全 算法 数据安全/隐私保护
四种恶意软件常用的逃避技术
本文讲的是四种恶意软件常用的逃避技术,恶意软件逃避技术总是在不断演变,上个月的RSA大会上安全公司Lastline的联合创始人讲述了逃避技术发展的图景。
1501 0
|
安全 测试技术 网络安全
这家公司模拟攻击受害者 以寻找安全风险
本文讲的是这家公司模拟攻击受害者 以寻找安全风险,攻击者使用多种工具和技术入侵某机构。一家名为SafeBreach的安全公司尝试使用自动化技术确定安全风险。
1435 0
|
安全 数据安全/隐私保护
旧金山市交通系统遭勒索软件感染细节进一步公布
昨天我们已经报道黑客周五入侵了旧金山市交通局(MUNI),超过2000台计算机系统被黑,导致上周末乘客能够免费坐地铁的快讯。 市里所有地铁站的电脑屏幕上均显示: “你已被黑,所有数据已加密,联系我们(cryptom27@yandex.com)ID:681”。
1350 0