【51CTO.com快譯】本次分析的惡意代碼偽造windows系統(tǒng)DLL以加載追加感染的惡性DLL文件，試圖竊取金融信息并進(jìn)行偽造篡改，并且在網(wǎng)上金融交易時(shí)，攻擊者通過執(zhí)行MITB(Man-in-the-Browser，瀏覽器中間人)攻擊來達(dá)成目的。

MITB攻擊是指在金融交易時(shí)，不確認(rèn)用戶與供應(yīng)商之間交易文件的完整性(尤其是檢查JavaScript代碼的完整性)，即使文件被偽造了也可以進(jìn)行交易，攻擊者利用該漏洞，在交易過程中竊取沒有加密的區(qū)間的敏感信息并進(jìn)行偽造和篡改。

本文將詳細(xì)分析執(zhí)行MITB攻擊的竊取金融信息的惡意代碼行為。

一、 分析信息

1. 文件信息

2. 執(zhí)行過程

宿主惡意代碼感染掉幾個(gè)文件并執(zhí)行多樣的行為。除去一些細(xì)節(jié)部分，主要的行為如下圖所示。下圖中，[Random_c].dll和[Random_d].dll是通過偽造的wshtcpip.dll和mdidmap.dll來進(jìn)行加載并執(zhí)行惡意行為的。

該惡意代碼又稱為“內(nèi)存Hacking惡意代碼”，那是因?yàn)橥ㄟ^該惡意代碼，在金融交易時(shí)，必須加密的敏感信息在內(nèi)存中臨時(shí)被解碼并且加載的數(shù)據(jù)被竊取或篡改。并且，攻擊者分析在金融交易時(shí)使用的安全模塊，并竊取該安全模塊中有意義的數(shù)據(jù)。

二、 惡意行為

1. 文件感染

宿主文件(本文中PrimePC.exe)執(zhí)行時(shí)，%TEMP%路徑下，以任意名稱([tickCount].tmp)生成臨時(shí)文件。該臨時(shí)文件作為與宿主文件相同的文件，生成以后根據(jù)宿主文件重新執(zhí)行。通過新的進(jìn)程活動(dòng)的臨時(shí)文件變更宿主文件的內(nèi)容，并在%TEMP%文件夾下面生成一個(gè)其他的文件名([tickCount].exe)的文件。

該文件再次感染若干文件，并且篡改正常的wshtcpip.dll和midimap.dll，然后妨礙特定的安全模塊的行為。該文件感染的主要文件如下。

2. 系統(tǒng)DLL篡改

Windows的正常DLL文件wshtcpip.dll和midimap.dll被篡改為惡意DLL文件。被篡改的DLL是使用LoadLibrary各自加載“[RANDOM_02].dll(295KB)”和“[RANDOM_03].dll (28KB)”的作用。除此以外，剩下的部分與正常的文件相同。被加載的特定惡意DLL因?yàn)閺乃拗魑募_始到%SYSTEM%文件夾下已經(jīng)被感染，所以可以加載。

因此加載wshtcpip.dll和midimap.dll的進(jìn)程被追加加載“[RANDOM_02].dll”和“[RANDOM_03].dll”。

3. 殺毒失效

惡意代碼會(huì)檢查是否安裝了特定的安全企業(yè)的殺毒產(chǎn)品，如果存在這些產(chǎn)品，便會(huì)終止殺毒進(jìn)程服務(wù)，還會(huì)卸載特定的安全文件并刪除。

4. 終止進(jìn)程

根據(jù)被篡改的wshtcpi.dll文件，[RANDOM_02].dll被加載至“iexplore.exe”中時(shí)，會(huì)查詢特定殺毒產(chǎn)品進(jìn)程并停止該進(jìn)程。并且windows title的名字與特定的字符串相符時(shí)會(huì)傳送終止信息，檢查的windows title如下：

5. 追加文件下載與執(zhí)行

同上，[RANDOM_02].dll被加載至“iexplore.exe”中時(shí)，追加的文件會(huì)被下載并執(zhí)行。下載地址被特定的算法進(jìn)行了解碼，解碼時(shí)如分析中的樣品“http://w**b.l***x.com:89/up4/jpg.rar”。該文件下載成功后便會(huì)執(zhí)行。

6. 用戶PC信息竊取

收集PC的信息并傳送至特定的URL。收集的信息如下，分析樣品的對象遠(yuǎn)程地址為http://a**f.8*****6.com:85。

7. 竊取金融信息

[RANDOM_02].dll在“explorer.exe”或“iexplore.exe”中加載時(shí)，確認(rèn)%TEMP%文件夾下是否存在nx1.dat文件。存在的話，便讀取該文件的內(nèi)容并傳送至特定的遠(yuǎn)程地址。nx1.dat文件之后會(huì)被存儲(chǔ)為包含有NPKI的竊取信息。

并且，確認(rèn)目前加載的host進(jìn)程是否為“dllhost.exe”或“I3GEX.exe”，然后進(jìn)入竊取金融信息的過程，竊取過程會(huì)生成新的線程來執(zhí)行。

URL地址中，如果存在字符串“w******k.com””b****g.n******p.com”，便會(huì)Hooking NPKI竊取行為和特定安全企業(yè)的DLL。

NPKI竊取行為進(jìn)行時(shí)，通過各種路徑進(jìn)行搜索，并獲取SighCert.der和SighPri.key文件的路徑。

Hooking時(shí)，在修復(fù)該模塊的代碼中竊取轉(zhuǎn)賬信息和金融信息等數(shù)據(jù)，并組合收集到的信息傳送至特定的遠(yuǎn)程地址，可以收集的信息如下：

三、 結(jié)論

該惡意代碼篡改windows正常DLL文件并試圖竊取金融信息。因?yàn)榇鄹膶ο體shtcpip.dll和midimap.dll是普遍使用的文件，所以篡改時(shí)會(huì)給用戶帶來很大的威脅。因金融信息被竊取，用戶會(huì)遭受金錢損失，并且還有可能被攻擊者下載到其他的追加文件，因此需要引起注意。

為了防止受到危害，建議用戶不要執(zhí)行不明出處的文件，并且要時(shí)刻將殺軟更新至最新版本來保護(hù)自己的計(jì)算機(jī)。

【原標(biāo)題】[악성코드 분석] 금용정보 탈취 악성코드 분석(作者：INCA)

【編譯】微信公眾號(hào)@全球IT風(fēng)尚

【鏈接】http://erteam.nprotect.com/975

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】