安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】CARBANAK后门背后那些事

0x00. 前言


在这边文章中,我们将和读者一起近距离地剖析著名的、强大的、多才多艺的后门 软件:CARBANAK (又名Anunak)。具体来说,我们将着重介绍过去几年中关于CARBANAK 后门的一些使用细节,包括后门的配置,不同样本间的细小变化,以及后门的演变史。 通过对这些细节的分析,我们将对CARBANAK后门的幕后操纵者进行一些总结。有关CARBANAK后门的更多的详情信息,请参阅卡巴斯基Group-IB与Fox-It公司的相关报告。


0x01. 技术分析


在正式切入本篇文章的主题之前,我们有必要对这个后门进行一个简要的技术分析,以便我们对这个后门的前前后后有个大致的了解。CARBANAK后门基于插件化的架构进行开发,功能完备且具备数据窃取能力,其中的一些功能模块包括:键盘记录,桌面录屏,VNC连接,HTTP 表单抓取,文件系统管理,文件传输,TCP 隧道,HTTP 代理,操作系统破坏,SHELL反弹,POS和Outlook数据窃取等。大部分的数据窃取模块自最早的CARBANAK 后门版本开始便已具备, 当然,随着后门变种的演变,后续的变种后门也增加了一些其他的数据窃取模块。

1)后门的监控进程

CARBANAK后门会启动(可通过后门配置文件可选地启动监控进程)一到多个监控进程进行持续的监控,不同的监控进程有着不同的目的。具体如下表所示:

http://p7.qhimg.com/t013510aacbcfe572f0.png

表1

2)后门指令

除了后门自带的文件系统管理功能,后门的数据窃取模块支持多达34种指令,这些指令通过命令控制服务器下发给后门。经过解密之后,我们找到了34种指令相关的所有明文内容,这些指令都会跟着相应的参数,这些参数以空格隔开,看起来就像我们平时用的命令行命令。这些指令和参数的名字都会被计算成hash值,然后后门会去校验这些hash是否和预期一致,只有和预期一致才会执行,这就给我们恢复指令和参数明文内容的工作带来了很大的困难。

http://p2.qhimg.com/t01d9539e5b37940537.png

表2

3)后门配置

后门的配置文件位于后门的安装目录,以.bin为后缀,配置文件中包含了若干指令,这些指令拥有和表2中所示指令一样的格式,当后门启动的时候,这些配置文件中的指令都会被自动执行。当然,当后门接收到loadconfig指令的时候,也会自动执行这些位于配置文件中的指令。你可以把后门的配置文件当作是后门的启动脚本。配置文件中包含一个名为state的指令(当然是以16进制hash值表示的),这个指令会设置一个包含了一串布尔值(用ASCII码中的0 或1'表示)的全局变量。这一串布尔值中某些值表示后门和命令控制服务器之间的通信协议,有的值表示后门是否已经安装, 有的值表示PST监控进程是否已启动。不仅仅是state 指令,其他的所有指令都是以16进制hash值而不是明文名字被保存在配置文件中的,某些指令在执行时会自动将自己添加到配置文件中,以便它们在后门重启后自动生效(有的指令不需要重启后门)。loadconfig指令和state 指令在后门初始化期间就被执行,如果发现后门配置文件不存在,则重新创建一个,并将state指令写入配置文件中。

图1和图2 描绘了一些我们在调查中遇到的解码后的配置文件内容。

http://p8.qhimg.com/t01ce40d8f0915482b6.png

图8 

CARBANAK 后门近期更新

最近,我们发现了一些64位版本的CARBANAK后门变种,我们已经在最近的博客中分享了有关这个变种的详细细节。某些后门变种默认一直处于潜伏状态,只有在指定的配置日期才会激活。

历史回顾

Carbanak 集团

大量公开的关于CARBANAK 恶意软件的报告所指向的就是Carbanak 集团,一群很可能是从事数据窃取等恶意代码活动的幕后黑手。 FireEye 公司已经追踪了若干个使用了CARBANAK后门 和其他关联后门工具的恶意活动,比如DRIFTPIN (又名Toshliph)。 仅靠目前掌握的数据来看,我们还无法确定这些恶意活动之间的关联, 是否他们都是出自于同一个犯罪集团之手, 或者这些恶意活动通过一些松散的附属原因共享了这些恶意软件与技术。

FIN7组织

迄今为止,Mandiant 公司所有的和CARBANAK后门有关的调查信息显示,这些恶意活动的都归功于FIN7威胁小组,FIN7组织自2015年中期以来一直非常积极地反对美国餐厅和酒店业。

FIN7组织将CARBANAK工具作为后期渗透工具,CARBANAK可以帮助他们立足于受害者网络,维持对受害者网络的访问,FIN7组织通过频繁地使用video指令去监控用户行为,并了解受害者的网络环境,通过使用tunnel指令建立隐秘的代理通道,使其隔离与受害者的网络环境。FIN7组织一直使用合法购买的代码签名证书来签署他们所用CARBANAK后门的有效载荷。 最后需要说明的是,FIN7组织所用的CARBANAK后门采用了一些新的技术,这些技术我们并未在其他涉及CARBANAK后门的恶意活动中有所发现。

我们已经在以前的公开博客文章中介绍了FIN7组织近期的相关活动:

FIN7发起的针对SEC档案的人员的钓鱼诈骗活动

FIN7组织的演进历史和钓鱼相关的链接

FIN7组织利用Shim数据库漏洞进行持久化攻击

FireEye iSIGHT 威胁情报服务门户MySIGHT网站中包含了有关我们对FIN7组织所从事的恶意活动的其他一些调查信息。

针对位于美国、亚洲和中东的银行的广泛攻击活动

Proofpoint公司最先报道了2016年初针对美国和中东地区银行与金融机构的广泛攻击活动。我们锁定了这个地区其他几个与此次攻击活动有关的组织,此外,东南亚和亚洲西南部的银行与金融机构也被同一个攻击者攻击过。

这一系列攻击活动从2014年年底开始持续到2016年初,最特别的一点是,这次攻击活动中所使用到基础设施也被其他恶意软件使用过,比如LAZIOK,NETWIRE等

DRIFTPIN 后门

DRIFTPIN(又名Spy.Agent.ORM和Toshliph),它的身影早在以前和CARBANAK后门有关的攻击活动中就多次出现过,我们发现早在2016年上半年的一次钓鱼诈骗攻击活动中,FIN7组织就曾经使用过它。此外,在2015年年底,ESET报告了与CARBANAK后门相关的攻击事件,详细介绍了针对俄罗斯和东欧银行的钓鱼诈骗活动,这些攻击事件中就曾使用DRIFTPIN 后门作为恶意代码载荷。Cyphort实验室还透露DRIFTPIN 后门的变种已经在一系列的攻击活动中被发现,我们在两个被攻击过的乌克兰银行网站山发现,DRIFTPIN 后门的变种通是通过RIG 漏洞攻击套件被植入到受害者系统上的。

来自FireEye iSIGHT威胁情报分析服务的结果显示,这一大波的钓鱼诈骗活动的目标包括美国金融机构和与比特币交易与采矿活动相关的公司。到现在为止,这一波钓鱼诈骗活动仍在进行,有关这次攻击活动的最新消息,请参考FireEye iSIGHT威胁情报服务MySIGHT的门户网站。

早期的CARBANAK 攻击活动

2014年12月,Group-IB和Fox-IT公司发布了一份关于一个有组织犯罪集团的报告,该犯罪组织使用了一个名为"Anunak"的恶意软件,对东欧、美国和欧洲的银行的POS系统进行攻击,卡巴斯基于2015年2月发布了一份名为“Carbanak”的类似报告。"Carbanak"的名字首次被卡巴斯基提出来,而恶意软件作者将此后门称为Anunak。

这次攻击活动与2014年针对乌克兰银行ATM 系统的攻击活动有关, 早期的这种攻击活动和当下FIN7组织的某些行为比较类似。

0x03. 总结


从CARBANAK 后门样本中提取的详细信息为我们提供了一个独特的洞察视角,通过这个视角,我们可以发现用于窃取数据的恶意软件背后的一些操作细节, 通过上面的分析和讨论,我们可以得出以下几个结论:

通过我们所分析得到的信息,我们相信

1)至少有一些CARBANAK 后门的操控者要么可以直接访问和修改后门源码,要么就和CARBANAK 后门的开发者有着密切的联系。一些CARBANAK 后门的操控者甚至可以独自编译相应的后门版本。

2)这些攻击者可能正在使用一种构建工具,这种构建工具允许后门的操控者配置后门,比如配置命令控制服务器的地址, 命令控制服务器的加密密钥和活动代码,这种构建工具会在每一次进行后门版本构建的时候都会使用新的加密密钥去加密后门二进制文件中的字符串。

3)不同的活动代码暗示, 独立或者松散附属的犯罪分子正在使用CARBANAK 后门对各行各业,尤其是对全球金融机构以及美国境内的餐饮和酒店业,进行广泛的入侵攻击。


原文链接:https://www.fireeye.com/blog/threat-research/2017/06/behind-the-carbanak-backdoor.html

未经允许不得转载:安全路透社 » 【技术分享】CARBANAK后门背后那些事

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册