“Carbanak”回来了

2015-9-6 08:03| 发布者: 随便、先森。| 查看: 1336| 评论: 0|来自: freebuf

摘要: 就在最近，国际战略研究中心(CSIS)进行了取证分析，发现Windows客户端有被破坏的危险，并企图对网上银行交易进行欺诈。作为取证分析工作的一部分，我们成功的分离出一个带有数字签名的二进制文件，这就是后来我们所 ...

就在最近，国际战略研究中心(CSIS)进行了取证分析，发现Windows客户端有被破坏的危险，并企图对网上银行交易进行欺诈。作为取证分析工作的一部分，我们成功的分离出一个带有数字签名的二进制文件，这就是后来我们所确定的新的"Carbanak"样本。

10亿美元大劫案

Carbanak（又名 Anunak）已经存在了好几年，卡巴斯基的研究人员在2015年二月份发布的标题为“银行大劫案：Carbanak 网络团伙从100家全球金融机构窃取了10亿美元”的报告中强调过它。正如预期的那样，这样一个吸人眼球的标题会迅速引起国际媒体的注意，并在几天后占领了媒体头条。

而此时，在Carbanak的故事闯入媒体的时候，一些来自国际战略研究中心的研究人员正在参加在墨西哥举办的“卡巴斯基安全分析峰会(TheSAS2015)”。很快我们就忙于回答关注此事件的客户的各种问题。正如我们在那段时间的调查的进展，事实证明，我们的客户并没有受到Carbanak攻击。不幸的是，这不会永远持续下去。如前面所述，在上一周我们发现了Carbanak的新变种。从我们的分析来看，很明显，Carbanak回来了，并且已被证实它瞄准了在欧洲和美国的大公司。攻击方法是网络钓鱼。

第一个新变种

前面已经提到过，Carbanak的新变种进行数字签名。在被感染的Windows 7主机上，安装位置如下：

C://Program//DataMozilla//svchost.exe

在Windows XP中的位置为：

C://Documents and Settings//All Users//Application Data//Mozillasvchost.exe

与此同时，它增加了一个系统启动项的注册表，以便在系统重新启动后代码被执行。

在对代码逆向之后，我们能够确认文件夹和文件名都是“硬编码”的，因此这个可以作为它的一个特征指示符。Carbanak将自身注入到svchost.exe进程中，通过这种方式，可以在内存中隐藏自己。

至于其他一些高级的数据窃取技术，Carbanak是利用插件来实现的。该插件使用Carbanak自身的协议，并与通过硬编码的IP地址的443 端口进行通信。在我们的分析过程中有两个插件下载安装了，分别为“wi.exe”和“klgconfig.plug”。他们都已经在卡巴斯基报告被提到过。

当与C&C服务器进行通信时，BOTID为一个预定义的字符串“yamota0”和后面紧跟着的一个16字节的随机生成的字符串组成。

如下图：

新的变种和以前观察到的Carbanak样本之间存在如下一些差异：

- 新的地理目标
- 新的专有协议
- 使用随机文件（即主要部分是静态的）和互斥
- 预定义的IP地址（以前的样本使用域名）

对于新的样本，C＆C服务器连接到了一个知名的托管公司——Bulletproof。

已签名的Carbanak恶意软件

如下图所示，Carbanak的这个新变种使用了Comodo(俗称毛豆)进行数字签名：

证书有效日期为2014/10/02至2015/10/03.

经过一些调查之后，我们定位到一些与“BLIK”公司相关的信息。

公司注册登记日期：2014年4月3日

董事长：Chunyaeva Svetlana Alexandrova

公司地址：123298, Moscow, street. Berzarina, 7, 1

该公司的注册信息表明，“其他批发”为“BLIK”公司的主要业务活动。该组织还经营以下非核心业务：

- 木材和建材批发业
- 食品，饮料和烟草的批发贸易
- 水果和蔬菜批发市场
- 肉，禽，产品的批发和肉类罐头
- 奶制品，鸡蛋和食用油脂批发
- 酒类和其他饮料批发

在进一步的搜索之后，我们设法找到一个与此公司相关的域名：bliksco.com

更新日期：2015-04-01 17:55:18.274469
创建日期：2014年10月1日
注册名称：Svetlana Chunyaeva
注册机构：BLIK
注册街道：Berzarina，7，1
注册城市：莫斯科
注册人邮编：123298
注册国家：俄罗斯联邦
注册电话： +7.4997030345
注册邮箱：admin@bliksco.com

一个有趣的问题是，因为它有时的确存在这样的情况：“为什么一个公司的业务领域内的工作永远需要一个代码签名证书？”。

这让我们有了一些看法：

- 公司注册和颁发证书的日期之间的时间内表明犯罪分子可能使用了被盗的假身份证或护照注册了自己的公司。
- 这一次，犯罪分子明显注册了一个真实的公司，而不是使用偷来的证书进行代码签名，因为他们以前曾被卡巴斯基报告披露。
- 我们推测，这家公司的主要目的是从事欺诈交易。正如卡巴斯基报告中所指出的，Carbanak的转移金额是相当巨大的。也许，他们已经注册了一个公司，并开设了银行账户，以转移他们的赃款，同时对转移的过程具有完全的控制权。

结论

Carbanak就是我们定义的一个金融 APT。它非常有针对性，感染数量较少。另外，我们观察到它至少有四种不同的新变种，并且瞄准了大型国际企业的个人财务。

我们打算发布我们的Carbanak分析报告。同时样本也已共享给信任的伙伴，以确保检测工作的展开，杜绝各种安全解决方案的威胁。

参考

参考文献1：

http://www.kaspersky.com/about/news/virus/2015/Carbanak-cybergang-steals-1-bn-USD-from-100-financial-institutions-worldwide

参考文献2：
https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf

*参考来源：CSIS,译者/丝绸之路