作为有史以来最臭名昭著的网银木马之一,Zeus/Zbot衍生出了诸多的变种和模仿者,
看似图片 实则危险:Zeus/Zbot网银木马恶意代码深入解析病毒防范
。 当然,Zeus最大的特点,就是其所扮演的“浏览器中间人”行为( man-in-the-browser )。基于此,网络钓鱼者可以在不惊动到受害人的情况下,收集到他们的个人信息,并将之用于隐蔽的在线交易。 最近,一个新的变种又冒了出来,它的名字叫做ZeusVM。
ZeusVM木马会利用图片作为诱饵并检索配置文件,而这也是它能够顺利得逞的重要前提。几周前,法国安全研究人员Xylitol指出了一些奇怪的恶意广告活动。而最坑人的,就是它会向同一台主机上获取所托管的JPG图像。
后来,他告诉MalwareBytes.org,这个新变体所使用的“隐蔽写入技术”——即将恶意数据伪装在现有的文件中,而不会对宿主文件造成破坏。
接下去的几个星期,我们交换了几封邮件,并且Xylitol发现了其它几个行为表现相似的作品。出于好奇,我们对这个小伎俩进行了深入研究。
比如:上图是一张夕阳照,但你所不知道的是,它美丽的外表下所隐藏着的“杀机”——用于窃取金钱的恶意代码!
图片分析工具方面,我们有许多选择。但是首先,让我们找到这货的“精确副本”。然后,让我们仔细做下比对。
(感谢万能的Google和图片搜索)
找到匹配项之后,我们可以选择一幅具有相同宽高度的图片开始比对。然后,让我们把两幅图像并排放到一起……
是不是察觉到了一些异样?
通过位图模式下的比对,我们可以发现,两者之间竟然有着细微的差异。而这,极有可能就是注入恶意代码的结果(额外数据)。
再然后,让我们切换到16进制查看器——隐含的数据立即现身,
电脑资料
《看似图片 实则危险:Zeus/Zbot网银木马恶意代码深入解析病毒防范》(https://www.unjs.com)。当然,这样的数据不是给人看的,我们再看下文本格式。
震惊的是,为了妨碍人们的阅读,这货居然还用Base64、RC4以及XOR对代码进行了数据加密。当然,想要把它逆转过来也是可以的(比如通过OllyDbg调试器、或者用泄露出来的Zeus源码自行创建数据解压缩模块)。
解密后的配置文件如上,其中展示了一些被其当做目标的银行和金融机构。
在这些目标中,德意志银行(Deutsche Bank)是比较扎眼的。上图就是该行的登录页面(我们以它为例)。当用户在被感染的计算机上操作的时候,木马就开始玩转“中间人”的把戏了。
最可恨的是,银行无法区分这些资金是否被非法转移,因为“顾客”被系统“正确地验证并通过了”。
当然,这不是我们第一次见到有恶意软件在无关痛痒的文件中嵌入数据。不久前,网站安全公司 Sucuri 也披露过“一个看似无辜的PNG文件是如何在元数据中包含恶意指令的”。
通过这样的方式,隐藏的恶意代码甚至能够绕过基于签名的入侵检测系统、甚至防病毒软件。因为通常情况下,从一个网站管理员的角度来说,“一张能够被正常查看的图片又有什么问题呢?”
但是,现实就是如此残酷、事情也就是这么简单。无论是一个看似合法的图片、歌曲、或者电影文件,都有可能是不!安!全!的!( 防不胜防啊 )
有趣的是,“隐写术”是一个非常古老的做法。在古希腊的时候,就有在木头上刻字并用蜡封的真实运用,很多人也因此而被愚弄。
从这方面看来,坏人们其实也没有多大的创新,他们只是用看似现代的方式,在故伎重演而已。
[编译自: MalwareBytes.Org , via:@ jeromesegura ]