Clever Geek Handbook

Webむンゞェクションの進化、パヌト1

珟圚、Webむンゞェクトファむルは倚くの銀行マルりェアに採甚されおおり、金融詐欺を実行する手段ずしお䜿甚されおいたす。 マルりェア操䜜のこのメカニズムは、もずもずシングルコピヌで配垃され、特定のマルりェアファミリに䟝存しおいたした。 過去数幎にわたっお、Webむンゞェクションは、独立した開発者がボットネットオペレヌタヌに補品を販売するサむバヌ犯眪゚コシステム党䜓の䞀郚ずしお䜿甚され始めたした。







そのようなサヌビスの販売のためのそのような垂堎は、倚くの秘密のフォヌラムで芳察できたす。そこでは、Webむンゞェクションキットの販売に関するサむバヌ犯眪者からのオファヌが増えおいたす。 ナヌザヌアカりントのセキュリティを確保するために銀行が䜿甚する特別なセキュリティ察策のバむパスメカニズムなど、銀行詐欺に必芁なすべおの機胜が含たれおいたす。



私たちの研究は、Webむンゞェクションの本質ずその成長垂堎に焊点を圓おおいたす。 通垞のフィッシングシステムのように芋え、2芁玠2FA認蚌をバむパスするために䜿甚できる自動ATSシステムで終わるWebむンゞェクションが最初からどのように進化したかを振り返りたす。



今日たで、ボットネットオペレヌタヌは、䞍正な取匕でお金を皌ぐために、正圓なブラりザヌWebペヌゞに悪意のあるHTMLコンテンツを挿入できる悪意のあるプログラムのみを必芁ずしたす。 したがっお、圌は実際、この悪意のあるメカニズムがどのように実装されるかに無関心であり、その有効性のみが圌にずっお重芁です。 したがっお、このアルゎリズムずそのメカニズムを実装するために、圌はこの領域を自分よりもよく知っおおり、䞍正なスキヌムに最適なサヌビスを提䟛できる他のサむバヌ犯眪者のサヌビスに頌るこずができたす。



はじめに



実際、Webむンゞェクションは、銀行のトロむの朚銬プログラムを䜿甚しおナヌザヌの銀行口座ず䞍正な取匕を行う最も先進的なツヌルの1぀です。 最近、銀行はナヌザヌのアカりントたたはアカりントを䞍正アクセスから保護するために蚭蚈された特別なセキュリティメカニズムを䜿甚し始めたした。 Webむンゞェクションも静止しおいるわけではなく、䜜成者はサむバヌ犯眪ツヌルをこれらのセキュリティメカニズムを回避するニヌズに適合させおいたす。 秘密のフォヌラムでのWebむンゞェクションキットの販売は数幎前から芳察されおいたす。



私たちが知っおいるように、過去数幎間で、ナヌザヌはさたざたな銀行業務のためにむンタヌネット銀行サヌビスにたすたす泚目しおいたす。 たた、サむバヌ犯眪者は立ち止たらず、ナヌザヌのコンピュヌタヌずモバむルデバむスを䟵害する特別な悪意のあるツヌルを䜜成したす。 進化の最初の段階では、攻撃者は銀行のトロむの朚銬に䟝存しおいたした。これには、いく぀かの金融機関を䟵害する機胜があり、有名なキヌロガヌキヌロガヌおよびWebフォヌムのグラバヌ/泥棒でした。 これらの資金は䞡方ずも、むンタヌネットバンキングアカりントから機密デヌタを盗むために䜿甚されたした。



キヌロガヌは、ナヌザヌがキヌボヌドから入力した共通の文字ストリヌムを生成するため、あたり䟿利ではありたせん。そこから、オンラむンバンキングアカりントにアクセスするには、ナヌザヌ名ずパスワヌドを抜出する必芁がありたす。 このタスクはボットネットオペレヌタヌの肩にかかっおいたした。 ナヌザヌがオンラむンバンキングアカりントで停のログむンフォヌムに入力した攻撃者にのみ関心のあるデヌタを受信できるため、フォヌムのグラバヌはこの状況からの明らかな方法になりたした。 さらに、キャプチャされたデヌタは、リモヌトの攻撃者サヌバヌに送信されたした。



今日の芳点からするず、フォヌムグラバヌはGETおよびPOST HTTPプロトコルリク゚ストをキャプチャするためのかなり時代遅れの方法であり、どのフォヌムデヌタがリモヌトサヌバヌに送信されるのかを助けたす。 よく知られ、すでに研究されおいる銀行のトロむの朚銬であるZeusずSpyEyeは、WebブラりザヌプロセスのコンテキストでAPI関数のむンタヌセプトに基づくフォヌムグラブメカニズムを初めお䜿甚したした。 䞀郚のマルりェアは、ブラりザによっお生成されたネットワヌクトラフィックフロヌの远跡に基づいたフォヌムグラブメカニズムを䜿甚しおいたした。 API関数のむンタヌセプトのメカニズムを䜿甚するこずは、攻撃者にずっおより望たしい方法です。この方法では、フォヌムデヌタは、Webサヌバヌぞの埌続の送信のために盎接暗号化される前でもむンタヌセプトされるためです。 この方法には、特定のブラりザたたはそのバヌゞョンに䟝存するため、欠点がないわけではありたせん。



珟代のマルりェアは、これらの時代遅れのトリックを䜿甚する可胜性は䜎く、代わりに、Webペヌゞを危険にさらしお資金を盗むずいう悪意のあるスキヌムを埮調敎しお䜿甚できるWebむンゞェクションサヌビスに頌っおいたす。 さらに、Webむンゞェクト自䜓により、特定の銀行に応じお、オンラむンバンキングサむトのWebペヌゞのコンテンツを倉曎できたす。 Webむンゞェクションにより、サむバヌ犯眪者は、ナヌザヌに衚瀺される䟵害されたWebペヌゞでさたざたなアクションを実行できたす。 jQueryず呌ばれるJavaScriptラむブラリを䜿甚する秘密フォヌラムで販売されおいるいく぀かのWebむンゞェクションキットがありたす。



人気のある銀行のトロむの朚銬であるZeusずSpyEyeは、特定の銀行サむトを䟵害し、そのコンテンツを倉曎するためにWebむンゞェクションを䜿甚した最初の䌁業の1぀です。 Webペヌゞのコンテンツは、API呌び出しむンタヌセプトメカニズムを䜿甚しお倉曎できたす。 これは、マルりェアがグラブフォヌムを敎理するために䜿甚する方法ず同じです。 銀行のトロむの朚銬は、サヌバヌから受信したコンテンツを怜査し、そのコンテンツをブラりザに盎接衚瀺する前に、オンザフラむで倉曎できたす。 同様の手法を䜿甚しお、WebブラりザヌがオンラむンバンキングWebペヌゞにアクセスしたずきに衚瀺されるコンテンツを信頌するナヌザヌを欺きたす。 この方法は、Man-in-the-BrowserMitBず呌ばれるナヌザヌに察する攻撃ずしお知られおいたす。 以䞋の図 図1は、金融詐欺譊告テキストを削陀した実際のWebむンゞェクションアクションの䟋を瀺しおいたす。





図 1. Webむンゞェクションを䜿甚した悪意のあるプログラムが、Webペヌゞからサヌビス情報を削陀したしたオンラむンバンキングシステムの譊告。 䞊郚には元のWebペヌゞのビュヌがあり、䞋郚には譊告テキストが削陀された䟵害されたWebペヌゞがありたす。



Webペヌゞに远加される悪意のあるコンテンツは、Webむンゞェクション構成ファむルにありたす。 このファむルは通垞、リモヌトのCCサヌバヌから感染したコンピュヌタヌによっおダりンロヌドされたす。 構成ファむルを転送するこの方法は、サヌバヌ䞊でこのようなファむルの内容を䞀床倉曎するこずができ、感染したコンピュヌタヌは次回このファむルのアップグレヌドバヌゞョンを受け取るため、攻撃者にずっお非垞に䟿利です。 さたざたなWebむンゞェクション構成ファむル圢匏がありたすが、そのうちの1぀が最も人気がありたす。 SpyEye銀行のトロむの朚銬で䜿甚され、時間がた぀に぀れお事実䞊の暙準になりたした。 図 図2は、Webむンゞェクション構成ファむルの䟋を瀺しおいたす。





図 2. Webむンゞェクション構成ファむルの暙準圢匏。



䞊蚘のように、最初のパラメヌタヌは特定のWebむンゞェクションが機胜するタヌゲットURLを蚭定したす。 URLの埌の行の文字は、ナヌザヌがブラりザでこのアドレスを開いたずきに実行するアクションを銀行トロむの朚銬に瀺したす。 è¡š1はこれらのサヌビス文字の倀を瀺し、衚2は構成ファむルのさたざたなパラメヌタヌタグを瀺しおいたす。 䞀郚のWebむンゞェクションは非垞に単玔で、単玔なフィッシングメカニズムず同様の機胜を備えおいたす。぀たり、ナヌザヌが個人デヌタや機密デヌタを入力するように芁求されるWebペヌゞの本文に特別なフィヌルドを挿入したす。 このようなWebむンゞェクションの䟋を図5に瀺したす。 3。





è¡š1.最も䞀般的なset_urlパラメヌタヌフラグ。





è¡š2. Webむンゞェクション構成ファむルの最も䞀般的なタグ。





図 3.個人情報および機密ナヌザヌ情報の収集を専門ずするWebペヌゞ䞊の悪意のあるコンテンツの䟋。



自動転送システムATS



時間の経過ずずもに、Webむンゞェクションはより専門的で倚機胜になりたした。 それらのいく぀かには、攻撃者がナヌザヌアカりントで䞍正な操䜜を実行するのを助ける特別な高床な機胜が含たれおいたす。 このような操䜜を実装する特別なスクリプトは、指定されたオンラむンバンキングWebサむトの保護メカニズムをバむパスするように蚭蚈されおいたす。 Webむンゞェクションの開発に䌎い、銀行サむトのセキュリティシステムも改善され、悪意のあるアクティビティを怜出するための新しい機胜が远加されたした。 図 4.攻撃者が悪意のあるアクションの間に時間間隔を蚭けお人間の行動をシミュレヌトするWebむンゞェクションの䟋を芋るこずができたす。





図 4.時間遅延を䜿甚するためのロゞックを定矩するWebむンゞェクション関数。



ナヌザヌのアカりントからの䞍正な転送が完了するず、Webむンゞェクションは特別なメカニズムを䜿甚しお操䜜を隠したす。 カバヌの䞋では、銀行口座の珟金残高のわずかな調敎が理解されたす。 したがっお、ナヌザヌは自分のアカりントから資金が盗たれたずいう事実に気付かないたたです。



ATS攻撃の人気は最近、耇雑床ず成功率のレベルが䜎䞋するに぀れお䜎䞋しおいたす。 ATS in-the-wild攻撃方法の䜿甚を匕き続き芳察できたすが、䞀郚のサむバヌ犯眪者は、「手動制埡」を䜿甚する攻撃を支持しお、その䜿甚を攟棄しおいたす。 この堎合、攻撃者は䟵入先のコンピュヌタを制埡し、䞍正なアクションを手動で実行するだけです。



トランザクション認蚌番号のバむパスTAN



銀行のマルりェアの出珟により、銀行のセキュリティ専門家は特別な远加のセキュリティ機胜を銀行のリ゜ヌスに導入し始めたした。 これらの機胜の䞭で最も人気のあるものの1぀は、トランザクションのセキュリティを匷化した2芁玠認蚌でした。



2芁玠認蚌は、特別な確認コヌドを䜿甚しお銀行業務を行う際のセキュリティの氎準を匕き䞊げたす。 このようなコヌドは、銀行のナヌザヌが単にリストの圢匏で受信できたす。 トランザクション認蚌番号TAN、たたは銀行からのSMSメッセヌゞの圢匏で、いわゆる モバむルコヌドmTAN。 二芁玠認蚌が有効になっおいる堎合、ナヌザヌは受信したmTANコヌドを䜿甚しお、オンラむンバンキングWebサむトで取匕を確認したす。



mTANメカニズムをバむパスするために、攻撃者はナヌザヌに、銀行から受信したSMSメッセヌゞを傍受するモバむルデバむス甚の特別な悪意のあるプログラムをむンストヌルするように仕向けるこずができたす。 これは、゜ヌシャル゚ンゞニアリングの方法で行うこずができたす。 たずえば、ナヌザヌが䟵害されたWebブラりザヌを介しおオンラむンバンキングアカりントにログむンするずすぐに、悪意のあるコヌドは特別な悪意のあるコンテンツをWebペヌゞに挿入したす。 コンテンツは、ナヌザヌが䜿甚するモバむルデバむスに関する情報を提䟛するリク゚ストを含むテキストです図5。





図 5.モバむルデバむスに関する情報を芁求するWebペヌゞ䞊の悪意のあるコンテンツ。



ナヌザヌがこのような情報を提䟛するず、モバむルデバむスで悪意のあるアプリケヌションをダりンロヌドするためのリンクが蚘茉されたSMSメッセヌゞを受信したす。 たた、QRコヌドを䜿甚しおリンクを取埗するこずもできたす。 開いた埌、マルりェアがデバむスにダりンロヌドされ、ナヌザヌは手動でむンストヌルを開始する必芁がありたす。 この手順はいく぀かの段階で構成できたす。たずえば、攻撃者はマルりェアをむンストヌルするためのガむドずしお機胜するオンラむンバンキングWebペヌゞにコンテンツを挿入し、ナヌザヌに段階的に指瀺できたす。 マルりェアがモバむルデバむスにむンストヌルされるずすぐに、受信したすべおのSMSメッセヌゞを攻撃者の電話にリダむレクトし、ナヌザヌのアカりントでの詐欺行為䞭にmTANコヌドをバむパスできるようにしたす。 バンキングトロむの朚銬PerkeleずiBankingは、このような機胜を持぀マルりェアの有名な代衚者です。



銀行が2芁玠認蚌メカニズムを䜿甚し始めたため、Webむンゞェクションの開発者は、悪意のあるツヌルを回避しおそれらを回避するように匷制されたした。 以䞋に瀺すように、攻撃者は゜ヌシャル゚ンゞニアリングの圢匏の1぀を䜿甚しおナヌザヌを欺き、これらの保護手段を回避するために䜿甚される必芁な情報からナヌザヌを誘いたす。



マルりェアボットネットのアクティビティを远跡した埌に利甚可胜になった情報は、サむバヌ犯眪者がmTANスキヌムをバむパスするために䜿甚する方法の写真を提䟛しおくれたした。 それらはすべお、1぀の䞀般原則に垰着したす。ナヌザヌに泚意を匕く架空のストヌリヌで特別なメッセヌゞを衚瀺したす。 攻撃者は、ナヌザヌがオンラむンバンキングアカりントにログむンし、サヌバヌぞの安党な接続を䜿甚しおおり、ブラりザヌに衚瀺されるすべおのデヌタが信頌できるず信じおいる瞬間に、ナヌザヌにそれを衚瀺したす。 これらのストヌリヌの1぀は、特定の金額が誀っおナヌザヌに送金され、ナヌザヌがそれを返還しなければならないずいう情報に基づいおいたす。 このようなスキヌムは、Webむンゞェクションの悪意のあるコヌドがナヌザヌに衚瀺されるキャッシュ残高を調敎し、誀解を招く可胜性があるために可胜になりたす。 別の話は、ナヌザヌがテスト珟金取匕を実行するこずでモバむルデバむスを「調敎」するように求められたずいう事実に基づいおいたした。



図 6.銀行のナヌザヌに発行されたリストのテキストボックスにTANコヌドを入力するように求める停のマルりェアメッセヌゞが衚瀺されたす。 知っおいるように、このリストのコヌドには番号が付けられおいるため、攻撃者は特定の番号のコヌドを芁求したす。 攻撃者は、ナヌザヌのアカりントから特定の金額を盗み、2FAメカニズムでこの操䜜を確認する必芁がある堎合に備えお、ナヌザヌにTANコヌドを提䟛するように䟝頌したす。 フィッシングメッセヌゞは、察応するナヌザヌぞの圱響に応じお、可胜な限り説埗力のある圢でコンパむルされたす。







金融機関や銀行のWebサむトを䟵害するのではなく、Facebook、Twitter、Google、Yahooなどの有名なサヌビスを䟵害するこずを目的ずした他のWebむンゞェクションが存圚するこずに泚意しおください。 これらのWebむンゞェクションは、クレゞットカヌド番号や電話番号などの機密情報や個人情報をナヌザヌから盗むこずを専門ずしおいたす。 図 図7は、有名なTwitterサヌビスに焊点を圓おたWebむンゞェクションを瀺しおいたす。





図 7. TwitterサヌビスのWebむンゞェクション。



Webむンゞェクション構成ファむルの暗号化



Webむンゞェクションの構成ファむルには、䞖界䞭のセキュリティ研究者やCERT組織の重芁な情報が含たれおいるため、サむバヌ犯眪者はこれらのファむルの内容を自分の手に枡らないようにするこずに盎接関心がありたす。 このために、暗号化および難読化アルゎリズムがファむルに適甚されたす。



Webむンゞェクションファむルの開発の初期段階では、攻撃者は暗号化を䜿甚せず、これらのファむルはリモヌトサヌバヌからボットにオヌプン圢匏で転送されたした。 アンチりむルス䌁業が銀行のトロむの朚銬により泚意を払い、これらの構成ファむルの倖芳を監芖し始めた埌、攻撃者は暗号化の䜿甚を開始し、各ステップでコンテンツを解読するプロセスをより困難にしたした。 珟圚、Zeusやその修正などの銀行トロむの朚銬は、いく぀かのレベルの暗号化を䜿甚しおおり、埩号化されたファむル自䜓は、党䜓ではなく郚分的にメモリに保存されたす。



JavaScriptコヌドの圧瞮たたは圧瞮は、いわゆるを䜿甚しお攻撃者によっお実行される可胜性がありたす。 メカニズム/パッカヌ/ですが、この堎合、元の圢匏にすばやく倉換できたす。 元のコンテンツを取埗する操䜜は、「eval」関数の単玔な順列ずJS beautifierサヌビスのサヌビスを䜿甚しお実行できたす。 この圧瞮方法は、Webむンゞェクションのコンテンツのサむズを瞮小するため䟿利ですが、その明らかな欠点はコンテンツのセキュリティが匱いこずです。 図 8. / packer /を䜿甚しお圧瞮されたスクリプトのフラグメントが衚瀺されたす。





図 8.メカニズム/ packer /によっお圧瞮されたスクリプトの䟋。



サむバヌ犯眪者がWebむンゞェクションのコンテンツを難読化するために䜿甚するアルゎリズムは、コンテンツの難読化を解陀するのは簡単な䜜業ではないため、分析を倧幅に耇雑化する可胜性がありたす。 図 9.このような難読化されたコンテンツの䟋を瀺したす。





図 9.難読化されたWebむンゞェクションの䟋。



, , -. .


More articles:


All Articles