记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

扒一扒CARBANAK的源代码,看它们是如何巧妙构思并运行的?(三)

前两篇文章(1和2),我们已经对CARBANAK的源代码本身进行了详细的分析,现在就让我们分析一下CARBANAK源代码的构建工具吧。构建工具让我们先来看看我们对CARBANAK构建工具的初始猜想和推断:该工具会允许攻击者配置诸如C2地址、C2加密密钥和活动代码等详细信息,这个构建工具使用每个构建的新密钥加密二进制文件的字符串。之所以会有以上的推论,是因为:大多数CARBANAK的字符串都经过加密,以便使分析更加困难。我们注意到,对于我们遇到的每个示例,所有加密字符串的密钥和密文都会发生变化,即使在具有相同编译时间的示例中也是如此。另外,我们还观察到用于HTTP协议的RC2密钥在具有相同编译时间的示例之间发生变化。这些
发布时间:2019-05-06 12:25 | 阅读:35599 | 评论:0 | 标签:逆向破解 Carbanak

扒一扒CARBANAK的源代码,看它们是如何巧妙构思并运行的?(二)

在上一篇文章中,我们讨论了如何在CARBANAK中使用字符串哈希来管理整个代码库中的Windows API解析。但同时,CARBANAK的开发者在另一些任务中也使用了相同的字符串哈希算法。本文,我们将讨论CARBANAK是如何应对杀毒软件的检测并逃避它们的。应对杀毒软件使用源代码无疑会加快对字符串哈希的分析进程,例如,AV.cpp中的函数AVDetect通过进程名称哈希迭代进程来检测杀毒软件,如图1所示。通过进程名称哈希检测杀毒软件CARBANAK如何处理这些信息呢?它根据安装的内容来选择逃避杀毒软件的方法。图2显示了开发者通过注释禁用的AVG逃避的代码。2017年11月,CARBANAK还学会了逃避流程注入检测。这种
发布时间:2019-05-02 12:25 | 阅读:45055 | 评论:0 | 标签:逆向破解 Carbanak

扒一扒CARBANAK的源代码,看它们是如何巧妙构思并运行的?(一)

FLARE(FireEye Labs Advanced Reverse Engineering 的缩写)通常会分析一些被大量使用的、且危害极大的恶意软件的源代码,然后对其进行分析,比如通过逆向工程、事件响应、取证调查和渗透测试。FIN7(也被称为Anunak或银行大盗Carbanak)是目前为止组织最为严密的复杂网络犯罪组织,自2013年起就开始活跃。以下为该团伙犯罪时间线:2013 年-2014 年 – 开发和使用 Anunak 恶意软件,主要针对金融机构和 ATM 网络;2014 年-2016 年 – 开发并使用 Carbanak 恶意软件,相当于 Anunak 更新更复杂的版本;2016 年-2017 年 – 使
发布时间:2019-04-26 12:25 | 阅读:86430 | 评论:0 | 标签:逆向破解 Carbanak

Silence 分析报告:一种新型的专门攻击金融机构的木马程序

背景介绍 2017年9月,卡巴斯基实验室发现了一波专门针对金融机构的网络攻击,受害者大多是俄罗斯银行,在马来西亚和亚美尼亚地区的某些金融机构也检测到了受感染的迹象。 攻击者为实现盈利目标,使用了一个已知的但仍然非常有效的攻击手段:渗入目标银行的内部网络并长期潜伏,使用录像记录银行员工在电脑上的日常活动,了解目标银行的工作原理、使用的软件等情况,然后利用这些情报在适当的时机尽可能多的窃取更多的资金。 臭名昭著的黑客组织Carbanak也使用过这种手段,事实上,全球范围内不乏类似的案例。攻击者惯用的感染介质是带有恶意附件的鱼叉式钓鱼电子邮件。在这次攻击活动中,比较有趣的一点是,网络犯罪分子入侵了银行的基础设施用于发送鱼叉式网络钓鱼电子邮件,由于这些邮件来源于银行雇员们真实的电子邮件地址,从而有效降低了潜在受害者的
发布时间:2017-11-02 23:20 | 阅读:117366 | 评论:0 | 标签:安全报告 Carbanak 网络犯罪 银行木马 黑客组织

恶意软件Carbanak利用谷歌来做命令控制服务器通道

Forcepoint安全研究人员警告道:声名狼藉的Carbanak恶意软件如今能用谷歌服务来做C&C通信了。 Carbanak黑客团伙(亦称Anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化Office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。 Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。 该文档内嵌包含有VBScript文件的OLE对象
发布时间:2017-01-31 19:00 | 阅读:115076 | 评论:0 | 标签:威胁情报 C&C Carbanak 恶意软件 谷歌

俄罗斯黑客团伙通过复杂的技术窃取了巨量的银行资金

安全研究企业卡巴斯基(Kaspersky Labs)已经披露了多个团伙所使用的越来越复杂的黑客软件包(又称“犯罪软件”/ crimeware)的诸多详情,后者通过感染金融机构的计算机而窃取了大量的现金。卡巴斯基着重描述了当前正被野外利用的一些威胁,比如某个黑帮就用到了一种名叫Metel的软件包,其本质上则是一系列用于感染银行雇员工作站的模块,并最终导致利用这些计算机来处理金融事务。 当他们在金融网络中立足之后,就会借助客户卡在某台被攻破的ATM机上提取资金。由于他们会通过系统立即回滚事务,所以事情就像没有登记注册那样。 当然,每台ATM机上的现金毕竟有限。卡巴斯基认为,这帮团伙应该最多只有10名成员,且都以俄语为主要语言,因为并没有在俄罗斯以外检测到攻击。 另一利用先进技术窃取银行资金的团伙被成为GCMAN,
发布时间:2016-02-11 02:45 | 阅读:90671 | 评论:0 | 标签:业界 Carbanak GCMAN 俄罗斯 卡巴斯基 黑客

网络黑客从全球银行窃走10亿美元:令ATM机自动吐钱

央广网北京2月17日消息(记者朱敏)据中国之声《新闻晚高峰》报道,明目张胆抢劫银行是很可怕也很大胆的事,然而,随着网络覆盖金融业,比抢银行更可怕的事来了,那就是网络黑客抢银行。在这些黑客眼里,直接跑去银行抢都太落后了,那才能抢多少,黑客们在电脑前摆弄摆弄,能偷10亿美元! 这不是吓唬您,而是真事儿。世界知名反病毒机构卡巴斯基实验室16号发布报告,指认一个跨国黑客团体专门针对全球约30个国家的银行和金融企业发起网络攻击并盗取银行账户资金,迄今所窃总金额高达10亿美元,受害国家和地区包括美国、欧盟、日本和中国等。这被认为是全球银行业迄今涉案金额最高、波及范围最广的“网络盗窃行为”之一。 当然,这10亿美元不是一次盗窃而成,根据报告,这个犯罪团体由来自亚洲和欧洲多个国家的黑客组成,已知最早于2013年下半年开始作案。
发布时间:2015-02-19 23:00 | 阅读:96619 | 评论:0 | 标签:业界 ATM吐钱 Carbanak 病毒 黑客

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云