說到Zeus/Zbot，做安全多多少少都會有所了解。Zeus是對金融系統(tǒng)威脅最大的僵尸網(wǎng)絡(luò)之一，控制者借助僵尸程序竊取賬戶登錄信息和信用卡號碼。Zbot往往通過垃圾郵件來傳播，中招的會下載一個程序，這個程序會控制網(wǎng)銀，偷取信息。近期卡巴斯基實驗室發(fā)現(xiàn)了一款ZeuS的最新變種Chthonic。

[[125102]]

2014年秋季，卡巴斯基發(fā)現(xiàn)了一款新的銀行木馬，之所以引起了卡巴斯基的注意是因為：

首先，從技術(shù)上來說這款病毒非常有趣，它使用了一種新技術(shù)加載模塊。

其次，通過分析它的配置文件我們發(fā)現(xiàn)，這款木馬針對的是大量在線銀行系統(tǒng)：超過150家不同的銀行，還有來自15個國家的20個支付系統(tǒng)。主要針對來自英國、西班牙、美國、俄羅斯、日本和意大利的銀行。

卡巴斯基實驗室將這款新病毒命名為Trojan-Banker.Win32.Chthonic。

雖然經(jīng)過大量修改，我們還是察覺到這款木馬是ZeusVM的變種。Chthonic使用與Andromeda bots相同的加密器，與Zeus AES和Zeus V2木馬相同的加密方案，與ZeusVM和KINS類似的一款虛擬機(jī)。

感染方式

Trojan-Banker.Win32.Chthonic感染主機(jī)有兩種方式：

發(fā)送帶有exploits的電子郵件;

使用Andromeda bot(Backdoor.Win32.Androm)下載到受害者主機(jī)上。

發(fā)送帶有exploits的電子郵件：犯罪分子會附上一個“精心制作”的RTF文件，文件會利用微軟Office產(chǎn)品中的CVE-2014-1761漏洞。文件的使用的是.DOC后綴，為的是看起來不那么可疑。

如果成功的話，受害者的主機(jī)就會下載一個downloader木馬。上圖例子中，這個downloader木馬來自一個被攻陷的網(wǎng)站 —— hxxp://valtex-guma.com.ua/docs/tasklost.exe。

Andromeda bot則會從hxxp://globalblinds.org/BATH/lider.exe下載downloader木馬。#p#

下載木馬

一旦downloader被下載，就會向msiexec.exe注入代碼。似乎這款downloader是基于Andromeda bot的源代碼修改的，雖然兩者采用了不同的通信協(xié)議。

Andromeda和Chthonic downloader的相似之處

Andromeda和Chthonic C&C采用了不同的通信協(xié)議

Chthonic的downloader包含一個加密的配置文件(KINS和ZeusVM也使用了類似的加密)。配置文件主要包括：一個C&C服務(wù)器列表，一個用于RC4加密的16字節(jié)密鑰，UserAgent和僵尸網(wǎng)絡(luò)ID。

解密配置文件后，內(nèi)容即被以以下形式儲存在堆內(nèi)存中：

[[125103]]

這個過程沒有傳遞指針。Andromeda bot會通過RtlWalkHeap函數(shù)檢查每個堆元素，將起始的4個字節(jié)與MAGIC VALUE匹配。

downloader會收集本地IP，僵尸id，系統(tǒng)信息，語言信息，uptime和其他信息，然后先用XorWithNextByte進(jìn)行加密，再用RC4，接著把信息發(fā)送到配置文件中指定的一個C&C地址。

發(fā)送信息后，木馬會收到一個擴(kuò)展加載器。不是標(biāo)準(zhǔn)的PE文件，而是一系列片段，加載器會把這些片段映射到內(nèi)存，這些片段包括：可執(zhí)行代碼，重定位表，入口點，導(dǎo)出的函數(shù)和引入表。

Andromeda和Chthonic中的import setup片段

頭文件

擴(kuò)展加載器中還包含一個使用虛擬機(jī)加密的配置文件。它會加載木馬的主模塊，然后主模塊會下載其他模塊。擴(kuò)展加載器本身使用AES加密，而其他片段是用UCL打包的。主模塊加載其他模塊，建立引入表的方式與Chthonic downloader很相似。

模塊加載過程見下圖：

 #p#

模塊

Trojan-Banker.Win32.Chthonic采用模塊結(jié)構(gòu)。至今為止我們已經(jīng)發(fā)現(xiàn)的模塊：

名稱                    描述                               是否有64位版本
main             主模塊 (v4.6.15.0 - v4.7.0.0)                 是
info             收集系統(tǒng)信息                                  是
pony             竊取保存的密碼                                否
klog             Keylogger                                     是
http             Web注入和表單存取                             是
vnc              遠(yuǎn)程控制                                      是
socks            代理服務(wù)器                                    是
cam_recorder     使用攝像頭錄視頻                              是

木馬中有很多函數(shù)通過各種手段竊取在線銀行的用戶名密碼。而VNC和cam_recorder模塊能讓攻擊者遠(yuǎn)程連接感染的電腦并且進(jìn)行交易，還可以用電腦的攝像頭和麥克風(fēng)錄下視頻音頻。

注入

Web注入是Chthonic的主要武器：他們能夠用木馬在瀏覽器打開的網(wǎng)頁代碼中插入自己的代碼和圖片。攻擊者能夠借此獲取受害者的手機(jī)號碼，一次性密碼和PIN，還有受害者輸入的用戶名和密碼。

例如，當(dāng)用戶訪問日本銀行時，木馬會隱藏銀行的提示警告，并且插入腳本，使得攻擊者能夠使用受害者的賬號進(jìn)行轉(zhuǎn)賬：

在線網(wǎng)銀網(wǎng)頁截屏(注入前/注入后)

注入的腳本中的函數(shù)

注入的腳本也會顯示很多假窗口，以獲取攻擊者想要的信息，如下圖所示，窗口顯示一個警告，警告用戶賬號認(rèn)證有問題，提示用戶輸入交易驗證碼(TAN,Transaction Authentication Number)：

交易驗證碼輸入窗口

不過我們的分析發(fā)現(xiàn)針對俄羅斯銀行的注入有點異常。當(dāng)受害者打開一個在線銀行網(wǎng)頁時，網(wǎng)頁的整個頁面都被替換了，而不是像其他銀行一樣只注入一部分。木馬會創(chuàng)建一個與原來窗口大小一樣的iframe，覆蓋原網(wǎng)頁。

下圖是注入的代碼的片段，這段代碼會替換title與body結(jié)束標(biāo)記之間的內(nèi)容：

腳本內(nèi)容：

如果注入成功，bot就會收到指令建立反向鏈接：

覆蓋區(qū)域

病毒襲擊了15個國家的150家銀行和20個支付系統(tǒng)。攻擊者主要針對英國、西班牙、美國、俄羅斯、日本和意大利的銀行。

Chtonic目標(biāo)的國家分布

值得注意的是，盡管配置文件的列表中有很多目標(biāo)，但很多用于web注入的代碼片段已經(jīng)不能用了，因為銀行更改了他們的網(wǎng)頁，有的銀行甚至域名都改掉了。另外，有些代碼片段我們幾年前在其他病毒(例如Zeus V2)的配置文件中看到過。

總結(jié)

我們看到ZeuS木馬仍然在不斷更新完善，加入新的技術(shù)。這得益于ZeuS源碼的泄露。所以很多寫木馬的把它拿來當(dāng)框架了，任何人都可以加入新功能滿足需求。

所以，以后我們無疑會看到更多的ZeuS新變種。

部分md5:

12b6717d2b16e24c5bd3c5f55e59528c
148563b1ca625bbdbb60673db2edb74a
6db7ecc5c90c90b6077d5aef59435e02
5a1b8c82479d003aa37dd7b1dd877493
2ab73f2d1966cd5820512fbe86986618
329d62ee33bec5c17c2eb5e701b28639
615e46c2ff5f81a11e73794efee96b38
77b42fb633369de146785c83270bb289
78575db9f70374f4bf2f5a401f70d8ac
97d010a31ba0ddc0febbd87190dc6078
b670dceef9bc29b49f7415c31ffb776a
bafcf2476bea39b338abfb524c451836
c15d1caccab5462e090555bcbec58bde
ceb9d5c20280579f316141569d2335ca
d0c017fef12095c45fe01b7773a48d13
d438a17c15ce6cec4b60d25dbc5421cd

參考來源：Securelist