Arbor安全工程与响应小组(ASERT)最近发布了一篇报告,揭示了复杂的银行恶意软件Neverquest或称Vawtrak进行逃避检测的技术细节,其中包括加密、匿名路由,甚至图片隐写技术。
ASERT的威胁情报及响应部门的负责人表示,他们关注Neverquest的最初原因是它对金融行业的冲击,检测结果表明,该恶意软件的结构极端复杂,并采取了很多防止研究人员进行检测分析的手段。该软件冲击了25个国家的超过100家大型金融机构。
它通过第三方恶意软件安装器将自己安装在用户的终端机上,然后使用多种方式盗取银行账户信息,包括开户人的社交网络和Email信息。Neverquest的主要目的应该是盗取银行客户的证书信息。
一旦黑客获得了这些证书信息,就可以通过用户的PC端实际登录到银行页面,而并不是通过某个可疑地址进行登录,因此银行很难察觉有东西出了差错。Neverquest一旦获得了用户的系统控制权,就会试图操纵进行银行转账。它还能绕过用户采取的大多数安全措施,而用户自身往往相信这些安全措施能够保护他们。
然而该恶意软件并不仅仅能绕过银行的安全系统和用户的杀毒软件。恶意软件的编写者使用了混淆技术,这使得安全研究人员很难搞懂它是如何工作的,也很难找到应对策略。
研究人员表示,Neverquest远远超出了传统检测的范畴,比如杀毒软件。杀毒软件从来就难以跟上恶意软件的发展步伐,恶意软件只需要改变自身的几个比特就可以绕过检测,哪怕用户运行的是最新版杀毒软件。
Neverquest在代码中使用了加密技术,因此很难研究它究竟在做什么。而且,它在与幕后服务器进行通信时同样使用了加密技术。它还使用了TOR匿名网络和图片隐写,这是一种将信息隐藏在图片中的技术。通过下载看上去完全无害的图片,该恶意软件可以从幕后服务器上获得升级版本。
Arbor公司正在抽丝剥茧对此软件进行分析,首先是检查硬编码命令和控制域,然后会研究一些.Onion域。研究人员表示,已经分离出了609个幕后服务器的位置,主要分布在东欧和西欧。
让研究人员感到震撼的是该软件中所包含的工作量极大。黑客的攻击目标是100~200个不同的金融机构,这些机构的相关网站有数百个。每个网站都有多个页面,可以进行网站注入,而每个页面本身又可能含有多个可注入点。软件编写者得以投入如此大的精力,可能是由于人们对恶意软件行业的关注度正在上升。
Sophos公司之前对该软件的研究表明,Neverquest是恶意软件代编写服务(Malware-as-a-service)的产品。
作者:Venvoo
来源:51CTO