山海科技发展网

08月09日Carbanak Backdoor的源代码泄漏:这对企业意味着什么

导读 摘要 在VirusTotal平台上找到了臭名昭著的Carbanak后门的源代码,该源代码与多个引人注目的数据泄露有关。 两年前在VirusTotal上发现...

摘要 在VirusTotal平台上找到了臭名昭著的Carbanak后门的源代码,该源代码与多个引人注目的数据泄露有关。 两年前在VirusTotal上发现它的Fi

在VirusTotal平台上找到了臭名昭著的Carbanak后门的源代码,该源代码与多个引人注目的数据泄露有关。 两年前在VirusTotal上发现它的FireEye的研究人员最近分享了他们对该恶意软件的分析,并指出其复杂性,特别是它通过混淆来阻碍分析的方式。

Trend Micro主动检测和阻止Carbanak,例如:Trojan.Win32.CARBANAK.A,Trojan.Win32.CARBANAK.B,Backdoor.Win32.CARBANAK.A,HackTool.Win32.CARBANAK.A,Trojan.Win64.CARBANAK。 A,Backdoor.Win64.CARBANAK.A,HackTool.Win64.CARBANAK和Backdoor.MSIL.CARBANAK.AA。

以下是Carbanak是什么,以及泄漏的源代码对用户和企业可能意味着什么:

[阅读:遭受攻击的银行:针对金融组织的策略和技术] 什么是卡巴纳克(Carbanak)?

Carbanak是网络集团FIN7(又名JokerStash,Carbanak和Anunak)用来攻击目标的后门之一。 该恶意软件参与了30个国家/地区的100多家银行的网络抢劫,据报道造成高达10亿美元的财务损失。 Carbanank还与使用销售点(PoS)恶意软件的其他活动相关联。 后门还被用来瞄准100多家公司,这些公司主要在酒店,餐厅和游戏行业。

[趋势科技研究:开玩笑或失误:Carbanak C&C导致俄罗斯联邦安全局] 谁是FIN7,他们现在在哪里?

主要使用Carbanak恶意软件的FIN7也从事在暗网上出售被盗的支付卡信息的活动。 该小组进一步完善了Carbanak的功能,并在2016年滥用了合法的渗透测试工具Cobalt Strike,开发了一种定制的木马Cobalt。

FIN7的领导人于2018年3月被捕,随后于8月又逮捕了与网络集团有联系的三名成员。 尽管遭到了这些逮捕,但FIN7仍然坚持不懈,使用SQLRat和DNSBot恶意软件发起了运动。

[阅读:Carbanank与其他针对金融组织的广告活动的联系] Carbanak如何渗透到网络或系统?

FIN7通常采用鱼叉技术来占领目标网络。 这些鱼叉式电子邮件的附件中嵌入了针对各种漏洞的攻击。 成功利用该shellcode后,将执行Carbanak。

据报道,FIN7还滥用了Windows中的动态数据交换(DDE)功能和合法的基于云的服务来提供Carbanak或作为命令与控制(C&C)通信的一部分。

[阅读:销售点恶意软件可能与Carbanak有关] Carbanak被执行后会发生什么?

Carbanak具有后门功能,其中一些功能包括:记录击键; 捕获感兴趣的网站的屏幕截图; 窃取和删除Cookie; 并向网站注入恶意代码。 它还可以监视传入和传出受感染系统的流量(例如来自表单,Outlook和PoS系统的流量)。

Carbanak还使用远程或系统管理工具来进一步监视目标或进行横向移动。 类似于有针对性的攻击,Carbanak可以执行侦察,以便攻击者可以熟悉目标的业务流程。 然后,可以使用此信息来例如篡改银行数据或进行非法交易。

[阅读:钴再次:垃圾邮件运行使用宏和对俄罗斯银行的CVE-2017-8759攻击] 泄漏的源代码包含什么?

为了完全理解具有100,000行代码的Carbanak,研究人员使用脚本来翻译嵌入在恶意软件中的俄语注释和图形用户界面。 研究人员的发现包括:Carbanak与其C&C服务器通信的独特方法; 如何逃避检测; 以及它所利用的安全漏洞。

Carbanak使用一种称为管道的Windows机制,即使没有网络也可以使恶意软件接收命令。 这种管道架构也使分析变得困难,因为Carbanak源代码中的复杂机制混淆了其许多组件。

[阅读:潜伏者:追溯网络集团的五年战役] 源代码泄漏对用户和企业意味着什么?

泄漏的源代码有帮助,因为它将为信息安全社区提供了解威胁如何发挥作用以及如何防御威胁所需的威胁情报。

另一方面,机会主义的网络罪犯可以出于自己的目的重新编译并重新整理它。 这可能导致野外出现不同的Carbanak迭代。 例如,臭名昭著的Mirai(其源代码也被泄露)产生了Satori,Miori和Yowaibotnet恶意软件之类的分支,仅举几例。

尽管Carbanak泄露的源代码可以帮助信息安全社区保持领先地位,但用户和企业不应自满。 鉴于窃取金融信息的威胁众多,有时攻击者只需使用一则经过社会工程设计的网络钓鱼电子邮件或易受攻击的应用程序,即可窃取数百万美元的信息。

Trend Micro XGen™安全性提供了跨代的威胁防御技术组合,可针对数据中心,云环境,网络和端点的各种威胁进行防御。 它具有高保真机器学习功能,可保护网关,端点数据和应用程序的安全,并保护物理,虚拟和云工作负载。

XGen™具有Web / URL过滤,行为分析和自定义沙箱之类的功能,可抵御当今特制的威胁,这些威胁绕过传统控件,利用已知,未知或未公开的漏洞,并窃取或加密可识别个人身份的数据。 智能,优化和连接的XGen™为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。

已于太平洋夏令时间2019年4月29日下午6:15更新,以更新对Carbanak的趋势科技检测结果。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢