来自 数据 2022-06-02 04:40 的文章

服务器防ddos_上海高防服务器_免费测试

服务器防ddos_上海高防服务器_免费测试

韩国使用VPN连接攻击银行恶意软件

这不是我们第一次报告针对韩国银行客户的恶意软件。过去,我们写过关于香港免备案对韩国Windows用户的威胁的文章,去年我们发布了一系列博客文章,是针对Android的伪造韩国银行应用程序(第1部分、第2部分、第3部分),关于针对移动平台的恶意软件。

韩国银行恶意软件基于之前使用的相同原则。客户执行受感染的二进制文件,修改Windows主机文件。此文件包含具有指定IP地址的域列表。但是,ddos防御方案报价,恶意软件可能会修改此文件。当客户希望访问其在线银行网站时,他将被重定向到主机文件中指定的IP地址,而不是原始银行网站!

我们将在这篇博文中讨论的恶意软件执行上述对系统设置的修改。然而,当我们查看修改后的主机文件时,我们注意到一些不寻常的情况。

如上图所示(主机文件截图),该恶意软件将韩国银行的许多网站重定向到IP地址10.0.0.7。如果您尝试在web浏览器中输入此地址,可能不会得到任何响应,因为这是专用IP地址。其他属于韩国搜索引擎的网站,如Naver,被重定向到可公开访问的IP地址。当访问受感染机器上的任何搜索引擎时,以下横幅显示在常规网站顶部。

图像显示:

您的电脑中是否有安全软件或程序,或者您是否有安全卡?由于黑客事件和潜在的用户信息泄露,高防cdn云清洗,如果你想使用网上银行,你需要执行识别程序。

我们发现了一个关于恶意软件行为的非常有趣的技术细节-它使用VPN连接!当一个用户点击下面银行的一个徽标时,他就连接到一个VPN,并显示假银行网站。首先,该恶意软件连接到C&C服务器,并通过69.30.240.106/index.txt上的GET请求获取配置。C&Cddos高防ip价格括一个指向修改主机文件和VPN服务器IP地址的可执行文件的链接。

900test.exevpn=204.12.226.98

可执行文件负责正确重写%windows%\system32\drivers\etc\host文件,在windows机器上查询DNS之前查询该文件以进行地址转换。例如,ddos防御隐藏,如果您想访问,系统首先访问主机文件,如果存在匹配项,它将使用该站点的指定IP地址(104.203.169.221),该地址与原始DNS记录不同-我们的地理位置为202.131.30.12。

恶意软件针对访问以下银行网站的韩国银行客户:

、nongyup.com、banking.nongyup.com、,nonghyup.co.kr,banking.nonghyup.co.kr,,shinhanbank.com,shinhanbank.com,,shinhanbank.co.kr,banking.shinhank.com,banking.shinhan.com,banking.shinhank.co.kr,,hananbank.co.kr,路由ddos防御软件,hananbank.co.kr,,wooribank,1.1.1-1.1-1.1-1.1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1.1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1 epostbank.co.kr,、epost.kr、、epostbank.kr

银行域名被转换为专用网络地址范围(10.0.0.7),搜索引擎被转换为运行IIS的Web服务器。Webserver运行中文版IIS,如提供不正确的标头信息时显示的错误消息所示。

但该恶意软件并非始终连接到VPN。该恶意软件搜索活动的Internet Explorer窗口,如果找到,根据Internet Explorer版本,它将定位浏览器的地址栏并提取当前输入的url地址。如果找到属于任何银行的URL,将建立VPN连接。

首先,恶意软件会删除一个文件%USERPROFILE%\profiles.pbk,其中包含基本配置。VPN的凭据(名称和密码)以二进制硬编码。通过Windows RAS API接口进行连接。

如果我们想在Windows中验证VPN连接,只需找到丢弃的PBK文件并双击即可。在属性中,我们将选择"提示输入名称和密码、证书等"。我们输入用户名和密码,这是我们以前从恶意二进制文件中提取的。按下"连接"按钮后,我们连接到VPN,如果主机文件被正确修改,我们可以访问假银行网站。按"挂断"后,我们可以断开与VPN的连接。

连接成功后,"ipconfig/all"命令列出与VPN的PPP连接,以及当前机器分配的专用IP地址。此时,受感染的机器连接到专用网络,可以访问托管在10.0.0.7上的内容。

当客户访问受感染机器上的nate、daum或naver时,会显示以下横幅。

单击银行徽标后,客户会看到以下修改过的网站(下面的例子是针对epostbank.kr的,但是这种攻击对其他银行的作用是相同的)。如果客户点击假银行网站上的任何链接,他会收到一条错误消息。消息说,额外的安全措施是可用的。单击确定后,假验证过程开始。要求客户填写一些个人详细信息。然后他被要求提供一个电话号码和他的安全卡上的号码。最后,他会看到一个下载恶意Android应用程序的链接。在写这篇博文时,指向恶意Android应用程序的链接不再有效。

原始滴管

1C22460BAFDDBFDC5521DC1838E2B0719E34F258C2860282C48DF1FBAF76E79

删除的DLL,C&C通信

FDF4CAA13129BCEF76B9E18D713C3829CF3E76F14FAE019C2C91810A84E2D878

主机文件修改器

1D1AE6340D9FAB3A93864B1A74D9980A8287423AAE47D086CA002EA0DFA4FD4

该分析由Jaromir Horejsi、David Fiser和Honza Zika共同完成。

,近三年ddos防御技术