安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】DownAndExec:银行恶意软件利用CDN野火般传播

 http://p0.qhimg.com/t01dbe8d67bb17ac43c.png


前言


像Netflix这样的服务商通常使用内容分发网络(CDN)来最大限度地提高带宽使用率,当用户在Netflix上观看影片时,由于CDN服务器靠近用户所在地,因此用户在观看电视剧或者电影时,影片内容的加载时间将会很快,以使得全世界的用户都能够获得良好的观影效果。但是,CDN却开始成为传播恶意软件的新方式。

总结


对有效载荷的分析工作仍在紧锣密鼓的进行中,在分析中我们发现恶意软件会使用DLL预加载技术(DLL预加载攻击)来将恶意PE程序注入到内存中。正如我们上述已经分析的那样,downAndExec技术涉及两个下载阶段以及几个自我保护措施,其中包括识别符合所需配置文件的机器,将片段中无恶意操作的代码分发到各个受害者机器上,尽管这些无恶意操作代码本身不执行(只是为了绕过在线检测),但是当与其他恶意代码一起存在于受害者的机器上时,它们便能够损害受害者的机器。

目前,还有一些与downAndExec有关的问题需要我们进一步研究的分析:

1. 为什么要使用内容分发网络托管JS代码片段?

2. JS代码片段中并没有使用runAsAdmin()函数,该代码片段是否被用作其他类型的巴西网络犯罪或恶意软件的共享模块?

3. 当K=“4”时恶意软件是如何执行的?

我们将会对上述问题进行持续的研究和分析,并将研究结果发布到我们的博客上,请不要忘记阅读我们的博客,以了解巴西网络犯罪分子使用的其他网络攻击手法。


IoC


http://p6.qhimg.com/t011a80439c2bef9a28.png


原文链接:https://www.welivesecurity.com/2017/09/13/downandexec-banking-malware-cdns-brazil/

未经允许不得转载:安全路透社 » 【技术分享】DownAndExec:银行恶意软件利用CDN野火般传播

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册