2012年6月25日,McAfee联合Guardian Analytics发布了一份白皮书,揭示了他们最新发现进行金融欺诈的High Roller行动。该行动已经***了欧美的60多家银行,窃取了7500万美元。

根据报告,该***行动基于Zeus和SpyEye僵尸网络技术,并超越了这些技术,主要的创新是:绕过物理的密码芯片认证机制(例如USB key等双因素认证)、自动化的钱骡账户(也就是用于转移资金的中间账户)、基于服务器端的***(而一般的***都是从客户端发起的)。

报告分析了3种经典的窃取过程,最典型的也是传统的客户端发发起的欺诈。

首先,欺诈者给受害者发送定向钓鱼邮件(spear phishing email);受害者点击右键中的链接后,受到0day或者Nday的漏洞利用***,被植入downloader***;Downloader***下载并安装Zeus或SpyEye客户端,加入僵尸网络。

用户下次登录在线银行后,植入的恶意代码会检测相关的参数,诸如是哪个银行、什么版本、账户信息、账户余额等。这些信息会透过僵尸网络发送给C&C服务器,然后C&C服务器会判断该受害者是否符合条件。如果符合条件,就会下发一组针对这个银行的WEB注射欺诈指令(js形式)给受害者。

受害者再次登陆网银,就会遭受man-in-the-browser(浏览器中间人)***,也即是之前下载那组web注射指令的***,受害者会被引导到一个虚假的信息页面上(js生成的),然后会被告知“系统出错,需要等待”等等拖延用户操作时间的行为,让用户的操作暂停一会儿(例如1分钟),而实际上受害者机器上的恶意代码已经开始工作,并执行相关的转账指令,开始倒钱了。而这个过程中,***者精心编写的程序完全绕开了双因素认证等验证机制。而为了隐匿转账的过程,也用到了自动化的钱骡技术。

另一个更加高级的欺诈是在上面基于客户端的欺诈的基础上发展出来的基于服务器的欺诈。这种方式的前面过程跟上面的是一样的,只是客户登录后会被告知等待的时间更长,例如告知客户系统故障,要求客户1到2天后重试。而在这1到2天的时间内欺诈者会使用窃取到的该受害者的凭据从另一台受控的服务器上仿冒受害者客户端登录网银,进行相关转账操作,而完全不需要受害者被动参与。

根据报告可以看出,这个欺诈行动中很多恶意代码和程序都是精心编写的,是具有很强针对性的,例如专门针对某个网银,仔细分析该网银的技术平台、通讯机制等等,然后写出针对性的程序。从这一点而言,完全符合APT***的关键要素之一——极强的特定性。

【参考】

TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE

Flame解读

Anonymous几天之内攻陷500多个中国网站

TrendMicro:针对印日的LuckyCat***

symantec:硝基***针对化工厂商

针对前独联体国家以及印度、中国的APT***案例

日本抑或也已遭受了APT***?

Stuxnet2.0现身欧洲

APT***实例研究与企业现有防御体系缺陷分析

美国五角大楼称24000份敏感文件透过网络泄露

连线杂志:史上最强的恶意软件Stuxnet揭秘