感染韩国网站的银行恶意软件分析

浮尘

2015年9月18日我们在网站koreatimes.com 上捕捉到一个恶意二进制代码，进一步调查发现这是个专门针对韩国网站及韩国银行的恶意活动。

通过查看今年的日志我们发现了更多受到感染的韩国网站：

filehon.com  (2015.5.30)
joara.com  (2015.5.3)
hometax.go.kr  (2015.5.3)
soriaudio.co.kr  (2015.4.23)
gomsee.com  (2015.3.16)
lottoplay.co.kr  (2015.2.6)
insight.co.kr  (2015.1.31)
filecity.co.kr  (2015.1.23)
nggol.com  (2015.1.6)
koreamanse.com  (2015.1.6)
我们所得到payload是通过修改受到感染的系统主机文件将韩国银行的流量重定向到控制服务器。这就意味着攻击者可以在用户不知情的情况下构建一个网络钓鱼网站，诱导用户上钩。同时韩国知名网络安全公司Ahnlab也是攻击目标。

感染流

感染网站

以下的分析将主要集中在发生于网站koreatimes.com 的感染过程。罪魁祸首是一个名为“2013_gnb.js”的javascript文件，实则为一个指向KaiXin EK登录页的iframe注入。

利用的漏洞，如下：

CVE-2014-6332 (IE)
CVE-2011-3544 (Java)
CVE-2015-0336 (flash)
我们在flash文件中发现了有趣的字符串，这让我们更好地了解攻击者是如何利用exp进行攻击。另外在flash文件中还发现了像是作者签名的字符串，“King Lich V”。这个字符串同样被发现存在于其他几起攻击当中。Flash文件同样都是用DoSWF包装的。

一旦利用安装完成，它有两个选项来执行payload。如果它在Win 7或者Win8系统中运行，它便会执行powershell脚本从199[.]188[.]106[.]161下载可执行文件。

否则，它会执行从www[.]jfkdsajfk5263[.]com/server[.]jpg下载的脚本，而前者本质上是用于绕过DEP。

这个下载的二进制是银行恶意软件后门家族Venik的功能。

后门Venik

“Venik”在俄语当中意为扫帚。

这个下载的二进制实际上在C盘任意名称例如“c:\tqcsv\krxxc.rxk”文件夹中安装一个dll文件。然后运行dll文件：

·“%system32%\rundll32.exe” “c:\tqcsv\krxxc.rxk”，开始。
创建mutex (M142.0.137.66:3201)以及建立自动启动键，例如：

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
· EvtMgr – “c:\windows\system32\rundll32.exe “c:\tqcsv\krxxc.rxk”,Start”
安装完成后，它开始“联系”以下网址：

· http://142[.]0[.]137[.]68:803
· http://142[.]0[.]137[.]67:805/index.php
同时使用TCP端口3201打开一个去142.0.137.66的链接，然后等待来自服务器的指令。服务器发出一个命令，便可从受感染客户端启动远程访问服务。

它还收集了%ProgramFiles%文件夹中的文件和映射驱动器。将文件复制到C盘的一个随意文件上，并使用HTTP会话将文件上传到服务器。

它修改了主机文件（%system32%\drivers\etc\hosts），有效地将访问银行网站的用户重定向到攻击者控制的网站，也就是钓鱼网站：

142.0.137.199 www.shinhan.com.or
142.0.137.199 search.daum.net
142.0.137.199 search.naver.com
142.0.137.199 www.kbstar.com.or
142.0.137.199 www.knbank.vo.kr
142.0.137.199 openbank.cu.vo.kr
142.0.137.199 www.busanbank.vo.kr
142.0.137.199 www.nonghyup.com.or
142.0.137.199 www.shinhan.ccm
142.0.137.199 www.wooribank.com.or
142.0.137.199 www.hanabank.ccm
142.0.137.199 www.epostbank.go.kr.or
142.0.137.199 www.ibk.co.kr.or
142.0.137.199 www.ibk.vo.kr
142.0.137.199 www.keb.co.kr.or
142.0.137.199 www.kfcc.co.kr.or
142.0.137.199 www.lottirich.co.ir
142.0.137.199 www.nlotto.co.ir
142.0.137.199 www.gmarket.net
142.0.137.199 nate.com
142.0.137.199 www.nate.com
142.0.137.199 daum.com
142.0.137.199 www.daum.net
142.0.137.199 daum.net
142.0.137.199 www.zum.com
142.0.137.199 zum.com
142.0.137.199 naver.com
142.0.137.199 www.nonghyup.com
142.0.137.199 www.naver.com
142.0.137.199
142.0.137.199 www.nate.net
142.0.137.199 hanmail.net
142.0.137.199 www.hanmail.net
142.0.137.199 www.hanacbs.com
142.0.137.199 www.kfcc.co.kr
142.0.137.199 www.kfcc.vo.kr
142.0.137.199 www.daum.net
142.0.137.199 daum.net
142.0.137.199 www.kbstir.com
142.0.137.199 www.nonghuyp.com
142.0.137.199 www.shinhon.com
142.0.137.199 www.wooribank.com
142.0.137.199 www.ibk.co.kr
142.0.137.199 www.epostbenk.go.kr
142.0.137.199 www.keb.co.kr
142.0.137.199 www.citibank.co.kr.or
142.0.137.199 www.citibank.vo.kr
142.0.137.199 www.standardchartered.co.kr.or
142.0.137.199 www.standardchartered.vo.kr
142.0.137.199 www.suhyup-bank.com.or
142.0.137.199 www.suhyup-bank.com
142.0.137.199 www.kjbank.com.or
142.0.137.199 www.kjbank.com
142.0.137.199 openbank.cu.co.kr.or
142.0.137.199 openbank.cu.co.kr
142.0.137.199 www.knbank.co.kr.or
142.0.137.199 www.knbank.co.kr
142.0.137.199 www.busanbank.co.kr.or
142.0.137.199 www.busanbank.co.ir
142.0.137.199 www.suhyup-bank.com
142.0.137.199 www.suhyup-bank.ccm
142.0.137.199 www.standardchartered.co.kr
主机文件修改

网络钓鱼通常索要的个人敏感信息是一个正常的银行网站不会提及的。

同时它还多次要求用户访问其他网上银行，这些都是可以转向钓鱼网站的。当网络钓鱼暂时无法在一个银行实施时，会出现这样的情况。

这个攻击同时针对了韩国的其他服务器，它曾试图禁用Ahnlab相关文件和进程。Ahnlab是韩国的一个非常流行的杀毒软件。

截止9月25日，我们已核实koreatimes.com恢复正常，不受感染影响。

相关样本

感谢Alex Burt对发现此项感染做出的贡献。

小龙

还是不错的哦，顶了

asion

感谢楼主的分享~

borall

感谢楼主的分享~

cl476874045

学习学习技术，加油！

08-wh

学习学习技术，加油！

Jack-5

感谢楼主的分享~

perble

学习学习技术，加油！

H.U.C-麦麦

还是不错的哦，顶了

Lucifer