m o c . 5 Blackmoon 银行木马新样本 b u 技术分析与防护方案 ■ 文档编号 请输入文档编号 ■ 版本编号 1.0 ti h ■ 密级 g ■ 日期 请输入文档密级 © 2017 绿盟科技 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿 盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方 式复制或引用本文的任何片断。 m o c . 5 b u ■ 版本变更记录 h t i g 时间 版本 说明 2017/5/16 1.0 创建 修改人 ■ 适用性声明 本文档用于引导企业通过正确的流程和手段进行危害抑制和损失控制，供企业安全管理人员、运维人员以 及绿盟科技安全服务人员使用。 Blackmon 银行木马新样本技术分析与防护方案 目录 一. 综述 ................................................................................................................................................ - 1 1.1 BLACKMOON .................................................................................................................................. - 1 1.2 传播方式 ...................................................................................................................................... - 2 1.2.1 旧传播方式 ......................................................................................................................... - 2 1.2.2 新传播方式 ......................................................................................................................... - 2 二. 样本技术分析 ................................................................................................................................. - 3 2.1 概述 .............................................................................................................................................. - 3 - m o c . 5 2.2 攻击目标 ...................................................................................................................................... - 3 2.3 样本分析 ...................................................................................................................................... - 4 2.3.1 阶段一：mini 下载器 .......................................................................................................... - 4 2.3.2 阶段二：Bytecode 下载器 ................................................................................................. - 5 2.3.3 阶段三：伪装成图片的下载器 ......................................................................................... - 6 2.3.4 BlackMoon 分析 ................................................................................................................ - 9 - b u 2.4 网络规则 .................................................................................................................................... - 12 2.5 威胁情报信息 ............................................................................................................................ - 12 2.6 检测方法 .................................................................................................................................... - 13 - h t i g 2.6.1 用户自我检测方 ............................................................................................................... - 13 2.6.2 绿盟科技木马专杀解决方案 ........................................................................................... - 14 2.7 总结 ............................................................................................................................................ - 14 附录 .................................................................................................................................................. - 14 - -I- Blackmon 银行木马新样本技术分析与防护方案 一. 综述 m o c . 5 b u h t i g 在 2016 年报道的盗取超过 15 万韩国用户银行信息的 Blackmoon 银行木马于 2017 年 又被发现采用了全新的框架模式来对网络银行进行攻击，通过三个分开但又彼此联系的步骤 来部署该木马，并进行后续的攻击。这与在 2016 年的以 adware 和 exploit kits 为传播方式 的框架完全不同。 1.1 Blackmoon 早在 2016 年，Unit 42 跟进并分析了一个专门针对韩国银行的网络恶意活动，并将之命 名为“KRBanker”即“Blackmoon”。 Blackmoon 的攻击方式与传统的 MITB 模式不太相 同，主要是采用“Pharming”的形式将用户重新定向到一个伪造的网站，从而骗取用户在冒 充的页面输入的账户信息。伪造的网站 IP 通过利用 QQ 空间的 API 来传递，随后利用 PAC(Proxy Auto-Config)与恶意的 Javascript 来自动配置本地代理设置。用户在访问银行网 站时，木马会检测该网站是否为攻击目标，如果是，就会将用户重新定向到伪造的网站，如 果不是，则定向到正常的网站。 © 2017 绿盟科技 -1- 密级：请输入文档密级 Blackmon 银行木马新样本技术分析与防护方案 1.2 传播方式 1.2.1 旧传播方式 2016 年发现的 Blackmoon 样本均是以 adware 以及 exploit kits(EK)模式来进行传播并 感染用户机器。用来安装 Blackmoon 的 EK 叫做 KaiXin，通过利用 Adobe Flash 的一些漏 洞来传播安装木马。另一个传播途径是通过一个叫 NEWSPOT 的 adware 程序。用户安装了 该程序后，通过该程序的 update 通道，Blackmoon 木马会被下载到用户的机器上，随后木 m o c . 5 马会运行并且开始攻击。 1.2.2 新传播方式 Fidelis 于 2016 年底至 2017 年初又发现了一个独特的三阶段框架，专门用来传播部署 b u Blackmoon 银行木马。 该框架通过按次序部署拥有不同但相关功能的组件来完成完整的 Blackmoon 木马的传播。 Fidelis 把这个框架称为 Blackmoon 下载器框架（如下图），包括 初始下载器（Initial Downloader）,字节下载器（Bytecode Downloader）以及 KRDownloader。 h t i g 该框架紧密联系并设计为顺序运行，以促进多个目标，包括逃避以及地理位置定位。 多级下载器的设计目的明确：避免检测，因为功能分布在这些单独的（但是相关的）组件之 间。利用该框架的攻击活动仍然瞄准了之前 Blackmoon 涉及的