Change Web安全 2019年9月28日发布

收藏

2018年，卡巴斯基研究人员发现了一种针对印度的银行恶意软件——ATMDtrack，其功能是植入ATM后读取和存储银行卡中的数据，进一步研究后，卡巴斯基发现了ATMDtrack的180个新样本，并将其统称为Dtrack。

早期发现的所有Dtrack样本都是已经植入的样本，因为实际Payload是用各种dropper加密的，而ATMDtrack和Dtrack内存转储共享的唯一序列，是发现这些样本的关键线索。在解密并了解最终的payload后，我们发现它与DarkSeoul行动（2013年朝鲜战争纪念日时，对韩国网络的攻击行动）存在一些相似之处，该行动可归因于朝鲜黑客团伙Lazarus组织。那么看来，Lazarus组织重新使用了了部分旧代码来攻击印度的金融部门。检测到的DTrack最近一次活动是在2019年9月初。

技术细节

Dropper将加密payload作为overlay（附加数据）嵌入到PE文件中，视作在正常执行步骤中永远不会使用的额外数据。它的解密例程是可执行物理补丁的一部分，从start()和WinMain()函数之间的某个位置开始。值得注意的是，创作者将恶意代码嵌入到一个非恶意可执行二进制文件中，默认是Visual Studio MFC项目，在某些情况下也可以是任何其他程序。

解密的overlay数据包含以下内容：

· 另外一个可执行文件；

· process hollowing shellcode；

· 预定义的可执行文件名称列表，恶意软件将其用作未来进程名称。

数据解密后，process hollowing代码运行，将要挖空的进程名称作为变元，名称来自上述的预定义列表。所有名称都来自%SYSTEM32%文件夹，如下所示：

· fontview.exe

· dwwin.exe

· wextract.exe

· runonce.exe

· grpconv.exe

· msiexec.exe

· rasautou.exe

· rasphone.exe

· extrac32.exe

· mobsync.exe

· verclsid.exe

· ctfmon.exe

· charmap.exe

· write.exe

· sethc.exe

· control.exe

· presentationhost.exe

· napstat.exe

· systray.exe

· mstsc.exe

· cleanmgr.exe

Dropper

执行后，process hollowing的目标将被挂起，直到其内存被解密的可执行payload覆盖后才会恢复。

Dropper包含各种可执行文件，都是用来监视受害者的。以下是找到的各种Dtrack payload可执行文件的功能列表（尚不完整）：

· 键盘记录，

· 检索浏览器历史记录，

· 收集主机IP地址、可用网络和活动连接的信息，

· 列出所有正在运行的进程，

· 列出所有可用磁盘卷上的所有文件。

在这一点上，框架的设计理念变得有些模糊。一些可执行程序将收集到的数据加密到归档文件后保存到磁盘上，而另一些程序则直接将数据发送到C&C服务器。

除上述可执行文件外，Dropper还包含一个远程访问木马（RAT）。RAT可执行文件允许犯罪分子在主机上执行各种操作，例如上传/下载、执行文件等。相关操作请参见下表：

Dtrack和ATMDTrack的相似之处

ATMDTrack是DTrack家族的分支，有相似之处，也有所不同。例如，Dtrack的payload是在dropper中加密的，不像ATMDTrack样本那样根本没有加密，但在解密Dtrack payload后可以发现，开发人员明显是同一群人：两组项目风格相同，实现功能也类似。它们最明显的共同点是字符串操作函数——检查参数字符串开头是否有CCS_子字符串，将其删除并返回一个修改后的子字符串，否则使用第一个字节作为XOR参数并返回解密的字符串。

恶意软件共有函数（函数/参数由研究人员命名）

结论

首次发现ATMDtrack时，我们以为这是另一个ATM恶意软件家族，因为常常有新的ATM恶意软件冒出。现在，我们可以在Lazarus组织的武器库中添加另一组家族：ATMDtrack和Dtrack。

而我们发现的大量Dtrack样本表明，就恶意软件开发而言，Lazarus组织是最活跃的APT组织之一，目前仍在持续快速开发恶意软件和扩展运营中。2013年在首尔发现的早期样本六年后又在印度死灰复燃，还袭击了金融机构和研究中心，Lazarus再一次出于经济动机或纯粹的间谍活动而挑起了攻击。

为了成功进行间谍活动，犯罪分子应该至少能够部分控制内部网络，这意味着受攻击组织可能有许多安全问题，例如网络安全政策薄弱、密码设置薄弱、缺乏流量监控等。

因此，我们建议公司需要加强他们的网络和密码政策，以及使用流量监控软件和防病毒解决方案。

 IoCs

8f360227e7ee415ff509c2e443370e56

3a3bad366916aa3198fd1f76f3c29f24

F84de0a584ae7e02fb0ffe679f96db8d