网络银行木马DYRE知多少（1）

Sammi888

双11购物狂欢虽已过去，但购物热潮却并未退却，而这也带来了每年都会在这段时候出现的网络犯罪活动：
趋势科技已经看到大量伪造的银行电子邮件，也看到其他类型的垃圾邮件威胁，包括KELIHOS，VAWTRACK，甚至某些形式的419骗局。
趋势科技也目睹了银行恶意软件的增加。这个恶意软件家族变种试图窃取敏感信息，如银行认证信息和电子邮件账号详细数据。它们会利用信息窃取技术，通常会伪造跟银行网站一模一样的钓鱼网页，用来窃取用户的银行信息，如用户名称、密码或卡号。再将窃来的信息发送到一个预先设定的电子邮件地址，代管服务器的暂存区或通过HTTP POST发送到一个网址去。

这一系列的文章着重于一个特定银行恶意软件，被侦测为TSPY_BANKER.DYR。在深入了解恶意软件本身后，我们会将这恶意软件威胁放入整个生态系，加上其连接的垃圾邮件，甚至包裹骡子诈骗（指将包裹寄送到别的地方的人，就跟“驴子”一样）。这些人很容易落入骗局，因为打着“容易致富”的名号。
关于DYR的一切
这被侦测的恶意软件跟DYRE（也被称为DYREZA，DYRANGES或BATTDIL）有关。TSPY_BANKER.DYR跟DYRE变种有许多相似之处，可以从其行为看出：
1、可以通过浏览器注入来进行中间人攻击。此外也可以进行浏览器截图，窃取个人认证信息，并窃取如浏览器版本等信息。
2、它窃取银行认证信息和监视对特定银行进行在线交易时的联机。
3、它会植入一个配置文件（通过C&C更新），里面包含了目标银行列表和bot ID（由计算机名称、操作系统版本和一组32个字符标识符所组成），目标银行包括了国际、美国和欧洲银行。
4、它利用NAT会话传输应用程序（STUN），一种位在NAT网络内之终端主机找出其公开IP地址的方法。它常被实时语音、视频通话和其他信息服务应用程序用来找出公开IP地址或是可被因特网所见的IP地址。犯罪分子使用这种方法来知道其恶意软件的确切位置（并可能知道谁试着去加以执行）。

（图1：STUN的截图）
5、它还可以下载一个VNC模块。
看看其网络行为来确认上面所描述的细节：使用默认好的字符串格式来连到C&C服务器的443端口；连接STUN服务器；接受对内联机。
虽然没有出现在下面的截图，其所使用的用户代{过}{滤}理版本是Opera/9.80。

（图2：TSPY_BANKER.DYR的网络行为）
进入点
我们现在知道这个恶意软件会做什么，但它如何进入和感染系统呢？
看看C&C服务器联机（端口443），这个端口是HTTPS，意思是网络交易中涉及证书。从窃取的封包中取出证书后，我们可以拿到两个证书。第一个证书自称来自Google，跟真正的Google证书相比较，你可以看出两者间的差异。

（图3：假的 Google证书）

（图4：真的Google证书）
同时，第二个证书包含一个特定值，这其实是用OpenSSL做出自签证证书时的默认输入数据。

（图5：第二个可疑证书）

（图6：默认数据输入）
在SSL和HTTPS的设计中，一个可信任网站的特点之一是需要有经过可信任认证机构（CA）认证的证书。使用（或重复使用）上面所显示的相同证书清楚地指出网站本身不值得信赖。
类似的嫌疑犯
我们决定交叉比对重复使用这些证书和会存取相同性质恶意软件的其他网站，并找到了两个被我们侦测为TSPY_ZBOT.WCDA和TROJ_UPATRE.WCDA的档案。接着我们检查了它们和我们原本的恶意软件（TSPY_BANKER.DYR）是否有共同之处，看看这两个档案的网络活动。

（图7：感染TSPY_ZBOT.WCDA系统的网络活动）
我们也检查HTTP标头来看看还有什么问题，找到了对C&C服务器的HTTP GET请求。

（图8：HTTP GET请求）
上述的网络活动有些惊人的相似之处，即：
1、DYR会连到STUN服务器，和TSPY_ZBOT.WCDA一样；
2、DYR和TROJ_UPATRE.WCDA有着相似的联机，有恶意软件名称/版本在HTTP/S请求中，还有其他相关网址字符串；
3、两者都会试着在对外通信时使用假的用户代{过}{滤}理字符串；
4、重复使用伪HTTP/S证书；
垃圾邮件联机
感染后的行为并不是TSPY_BANKER.DYR和TSPY_ZBOT.WCDA及TROJ_UPATRE.WCDA之间唯一的相似之处，它们也用相同的方法抵达。我们交叉比对相同时段内的此类恶意软件活动，找到这封垃圾电子邮件。

（图9：垃圾电子邮件样本）
这封电子邮件假装来自苏格兰皇家银行（RBS），分析后显示以下事项：
1、它用zip作为附件文件，解开后出现带有PDF图示，称为RBS_Account_Documents.scr的档案，此档案被侦测为TROJ_UPATRE.WCDA。
2、接着被植入的档案是exe，被我们侦测为TSPY_ZBOT.WCDA。
3、事实上，HTTP GET请求 /ProfilePics/0809uk1.zip（如图 8所示）可以被解读为：
0809 ——可能是9月8日，我们看到所有的这些恶意软件和垃圾邮件的日期；
UK ——可能是指英国，RBS总部的大概位置。
感染系统是DYR恶意软件的最后一步了吗？并不是。除了窃取银行认证信息，DYR恶意软件还涉及另一种威胁——包裹骡子诈骗。相关细节将在以后的文章中继续讨论，敬请期待。

尘梦幽然

http://about-threats.trendmicro. ... ame=TSPY_BANKER.DYR
趋势的病毒百科是个宝库，里面资料相当多，只可惜不够详细。估计是为了照顾专业性不那么强的用户的理解能力？