安全公司发现一些Vamtrak银行木马的变体即Neverquest将命令及控制服务器隐藏在Tor匿名网络中,让网络犯罪行动更难被阻断。
多数恶意软件版本依赖命令及控制服务器的硬编码IP地址,但这种方式很容易让向受感染机器发送命令的域名被威胁分析技术检测发现。
DGA并不容易
另外一种让Vawtrak不容易被发现的机制是域名生成算法,它创建了一系列恶意软件用来联系以接收命令的域名。
网络犯罪分子只注册少量域名,因为Vawtrak只有在接收到合适响应时才会对每个域名进行检查。
Fortinet安全研究人员解释了这个进程是如何为恶意软件运行的,他表示Vawtrak的代码包括多个可与不同域名匹配的DWORD值。每个DWORD值是一个用来生成域名的种子。这些种子在恶意软件代码中被存储为固定值,从而生成相同的伪随机域名。为了生成响应的域名,Vawtrak使用这个种子生成域名的伪随机字符。
然而,这个种技巧并非坚不可摧,因为研究人员可以攻破算法并找出所生成的字符串。
利用Tor2Web访问隐藏服务
多数变体依赖Tor2Web代理运行,这个代理在不需要额外工具的情况下与位于Tor网络的服务器建立了一种直接联系。
DGA所生成的字符串用于Tor中的位置,而其作者会执行一个函数,将字符串通过Tor2Web代理服务。
尽管连接到这个代理服务的用户可被追踪到,但连接之外的用户就无法追踪了。Tor流量是加密的而且通过多个并不会记录来源及目的地的机器路由。结果是访问的服务器位置以匿名形式覆盖。
Vawtrak包括多种保护机制(如禁用杀毒解决方案),允许其逃过检测及分析。攻陷机器后,它可盗取凭证并记录用户活动(键盘记录、截屏及视频)。
Vawtrak的操纵者可通过VNC信道远程访问系统,并且通过劫持虚假内容的方式修改网络会话,以此收集网上银行账户访问密码及访问密码所需的额外代码。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。