作为有史以来最臭名昭著的网银木马之一,Zeus/Zbot衍生出了诸多的变种和仿照者。当然,Zeus最大年夜的特点,就是其所扮演的“浏览器中间人”行动(man-in-the-browser)。基于此,收集垂钓者可以在不轰动到受害人的环境下,汇集到他们的小我信息,并将之用于埋没的在线生意。比来,一个新的变种又冒了出来,它的名字叫做ZeusVM。
ZeusVM木马会操纵图片作为钓饵并检索建设文件,而这也是它可以或许顺利得逞的首要前提。几周前,法国安然研究人员Xylitol指出了一些希罕的歹意告白勾当。而最坑人的,就是它会向统一台主机上获得所托管的JPG图象。
后来,他奉告MalwareBytes.org,这个新变体所利用的“埋没写进手艺”——即将歹意数据假装在现有的文件中,而不会对宿主文件造成粉碎。
接下往的几个礼拜,我们互换了几封邮件,并且Xylitol发现了其它几个行动表示类似的作品。出于好奇,我们对这个小手法进行了深进研究。
好比:上图是一张落日照,但你所不知道的是,它斑斓的外表下所隐躲着的“杀机”——用于盗取金钱的歹意代码!
图片阐发东西方面,我们有良多选择。可是起首,让我们找到这货的“切确副本”。然后,让我们细心做下比对。
找到匹配项以后,我们可以选择一幅具有不异宽高度的图片开端比对。然后,让我们把两幅图象并排放到一路……
是不是是发觉到了一些异常?
经由过程位图模式下的比对,我们可以发现,二者之间竟然有着细微的差别。而这,极有可能就是注进歹意代码的成果(额外数据)。
再然后,让我们切换到16进制查看器——隐含的数据当即现身。当然,如许的数据不是给人看的,我们再看下文本格局。
震动的是,为了故障人们的浏览,这货竟然还用Base64、RC4和XOR对代码进行了数据加密。当然,想要把它逆转过来也是可以的(好比经由过程OllyDbg调试器、或用泄漏出来的Zeus源码自行成立数据解紧缩模块)。
解密后的建设文件如上,此中揭示了一些被其当作方针的银行和金融机构。
在这些方针中,德意志银行(Deutsche Bank)是比较刺眼的。上图就是该行的登录页面(我们以它为例)。当用户在被传染的计较机上把持的时辰,木马就开端玩转“中间人”的幻术了。
最可恨的是,银行没法辨别这些资金是不是被不法转移,因为“顾客”被系统“准确地验证并经由过程了”。
当然,这不是我们第一次见到有歹意软件在无关痛痒的文件中嵌进数据。不久前,网站安然公司Sucuri也透露过“一个看似无辜的PNG文件是如安在元数据中包含歹意指令的”。
经由过程如许的编制,隐躲的歹意代码乃至可以或许绕过基于签名的进侵检测系统、乃至防病毒软件。因为凡是环境下,从一个网站治理员的角度来讲,“一张可以或许被正常查看的图片又有甚么标题问题呢?”
可是,实际就是如斯残暴、工作也就是这么简单。不管是一个看似合法的图片、歌曲、或片子文件,都有多是不!安!全!的!(防不堪防啊)
有趣的是,“隐写术”是一个很是古老的做法。在古希腊的时辰,就有在木头上刻字并用蜡封的真实应用,良多人也是以而被愚弄。
从这方面看来,坏人们其实也没有多大年夜的立异,他们只是用看似现代的编制,在故伎重演罢了。