有人终于发现了恶意软件大哥大 Carbanak 的源代码
编译:奇安信代码卫士团队
过去两年来,Carbanak 银行恶意软件的源代码都静静地躺在 VirusTotal 扫描平台上,研究人员如能识别出即可进行分析。它是最危险的恶意软件之一,主要实现远程访问功能,但同时也能记录关于计算机屏幕的视频并将其发送给攻击者。
Carbanak 据称由俄罗斯 FIN7 组织(根据所使用的恶意软件,该组织也被称为 Anunak、Carabanak 和 Cobalt 组织)开发并使用,曾博纳国际金融组织机构并直接窃取钱财。不过根据火眼公司的披露,近几年来,该组织的活动已扩展至其它行业(酒店、旅游、能源、教育、零售、政府、电信)等。
研究人员发现源代码
火眼公司的研究人员在两个 RAR 文档中找到了 Carbanak 的源代码,一个是15MB大小并包含879个文件(kb31p.rar),另外一个(apwmie.rar)约6MB并包含24个文件。
FIN7 组织在2014年至2016年期间使用了 Carbanak 恶意软件。该组织攻击了全球100多个银行并从这些银行的现金转账系统中窃取了10多亿美元。2017年4月19日,有人从俄罗斯将Carbanak 的源代码上传至 VirusTotal。
自从研究员 Nick Carr 在2017年发现了这两个文档后,火眼公司的研究人员花费了500个小时查看Carbanak 恶意软件的10多万行代码,对其本身及其功能有了深入的了解,并且知道了很多此前并未见过的插件。
困难重重
分析该源代码的一名研究人员 Michael Bailey 指出,“拿到源代码就像是在恶意软件分析中作弊。确实,源代码中包含了很多在编译和连接进程中丢失的信息。”
恶意软件分析师习惯于和二进制文件打交道,这种版本天生可被计算机理解。而应用程序的源代码是人类可读版本,提供了在编译过程中丢失的更多的信息。
然而,分析 Carbanak 的源代码并非一帆风顺,其中一个难点就是作者和研究员之间的语言障碍。
Tom Bennett 解释称,“读源代码分为两个步骤:以正确的编码展现文件,以及学习足够多的俄语”。他指出,“我在俄罗斯语言学习网站上学了几个小时了解西里尔字符和俄罗斯词语。之后我查看了最常用的600多个词语并创建了一个小型字典。”
由此,研究人员使 Carbanak 工具的图形界面将命令翻译为英文,供非俄语国家的研究人员查看该恶意软件的功能。
分析中遇到的另外一个挑战是代码的复杂性,它常常让研究人员跳到不同部分来理解处理命令的路径。Bailey 指出,“分析要求在5个文件的约20个函数中进行调整,经常需要原路返回以便恢复关于在18个层进行传递的函数指针和参数的信息。”
尽管 FIN7的头目已经在2018年第一季度遭逮捕,但该组织目前仍在活跃,而且转向对合法渗透测试工具 Cobalt Strike 的依赖,以创建工具。
2018年8月13日,Arbor Networks 发现一起专门针对俄罗斯和罗马尼亚银行的钓鱼攻击,它被认为由 FIN7组织发动。
FIN7组织实施的最新攻击发生在2018年10月,它开始利用 ThreadKit 宏传输工具的新版本,而该新版本的最终 payload 是 Cobalt组织使用的 CobInt 恶意软件。
火眼公司将分四篇博客文章对 Carbanak 恶意软件进行详细的技术分析。目前已发布两篇。第一篇说明的是它对混淆的处理。第二篇说明的是对杀毒软件的检测和规避、利用、作者情况、机密信息和基于网络的指标。
源代码地址:
(1) kb31p.rar
https://www.virustotal.com/#/file/783b2eefdb90eb78cfda475073422ee86476aca65d67ff2c9cf6a6f9067ba5fa/detection
(2) apwmie.rar
https://www.virustotal.com/#/file/4116ec1eb75cf336a3fdde253c28f712668d0a325a74c41445c7fa87c4e9b7a5/detection
火眼公司技术分析
(1) 第一篇
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html
(2)第二篇
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-two-continuing-source-code-analysis.html
原文链接
https://www.bleepingcomputer.com/news/security/source-code-for-carbanak-backdoor-shared-with-larger-infosec-community/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。