记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安天智甲有效防御ATM恶意代码PRILEX

2018-03-12 18:45

一、Prilex背景概述

安天在梳理网络安全事件时注意到针对ATM自动取款机的恶意代码家族Trojan/Win32.Prilex,其最初在2017年10月被披露用于针对拉丁美洲葡萄牙语系ATM的攻击活动。通过对Prilex分析发现,恶意代码使用Visual Basic 6.0(VB6)编写,代码中夹杂着“Ol?Jos?Boa tarde”等葡萄牙语,攻击者伪造并替换ATM应用程序屏幕,等待受害者输入密码,获取受害者密码信息后,将密码等数据回传到攻击者的远端服务器。

Prilex家族会影响特定品牌的自动取款机,这意味着攻击者在实施恶意攻击之前,需要对目标进行系列的渗透活动。因此,Prilex家族是攻击者在熟识目标之后,针对目标编写设计的、具有针对性的恶意代码。

图1.1 隐藏在恶意代码中等待用户输入代码的伪装ATM屏幕图片

经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)ATM专版可实现对Prilex家族的有效防御,保障终端安全。

二、样本分析

首先,第一个样本通过“cmd /c c:windowssystem32hkcmd.exe”命令加载执行另一个恶意样本。关联查询获得第二个样本并将其复制到特定目录完成后续分析。对hkcmd.exe进行分析,发现其包括修改屏幕、回传数据等主要功能。

样本运行后,设置自身文件路径作为互斥量创建的参数,查看是否存在注册表“HKLMSOFTWAREMicrosoftVBAMonitors”,如果该键值存在则恶意代码执行的操作可被拦截调试。

图2.1查看注册表HKLMSOFTWAREMicrosoftVBAMonitors

通过静态反汇编VB代码发现,恶意代码调用GetForegroundWindow函数获取当前窗口的句柄,调用GetWindowText获取当前窗口标题,再使用自定义函数设置窗口参数,调用GetDesktopWindow函数返回桌面窗口的句柄,并覆盖整个屏幕。

图2.2自定义函数设置窗体

继续分析发现,恶意代码创建Winsock,设置远端服务器IP地址,可将信息回传给攻击者。

图2.3 回传代码

三、安天智甲防御技术

经验证,安天智甲ATM专版可以实现对Prilex家族的有效防御。

图3.1 安天智甲ATM专版对Prilex家族主动防御

安天智甲ATM专版面向银行终端,采用定制化白环境防御机制,可以有效防御Prilex类恶意代码攻击。Prilex家族的攻击需要在终端植入恶意文件样本并运行,当程序样本执行时,安天智甲ATM专版能够立刻感知启动行为,并通过本地缓存与云端记录校验文件身份,当发现启动文件为未知文件时自动阻止,并将事件信息上报至服务端。

目前,安天智甲ATM专版已被多家银行选用信赖。

四、安天智甲ATM专版简介

图4-1 安天智甲产品

图4-2 安天智甲管理中心

安天智甲ATM专版是一款面向银行客户的专用版本,可提供专用解决方案,不仅能够对常规病毒进行防御,还能够对勒索软件、APT等新型威胁进行有效防御,为银行ATM终端、办公柜员机等提供有效防护。

1、安天智甲ATM专版:定制化防护机制——解决银行终端防护问题

安天智甲ATM专版针对银行终端,采用定制化白环境防御机制,通过自主的反病毒引擎,对进入终端的各类文件进行实时监控与检测;通过构建的多种安全基线,能够阻止未知文件或进程的启动、未知USB设备的接入和未知网络的访问等危险行为,实现对传统病毒、勒索软件、APT等威胁的有效防护。

2、安天智甲ATM专版:快速精准的追溯定位——威胁全网追溯与定点清除

3、安天智甲ATM专版:多维的运维模式——灵活运维、安全生产两不误

安天智甲ATM专版客户端具有“小、轻、静”的特点,终端资源占用极低,无干扰弹窗,保障终端的稳定持续运行。专用运维模式+静默查杀模式,灵活运维、安全生产两不误。

知识来源: www.mottoin.com/109101.html

阅读:41721 | 评论:0 | 标签:安全报告

想收藏或者和大家分享这篇好文章→复制链接地址

“安天智甲有效防御ATM恶意代码PRILEX”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云