安天智甲有效防御ATM恶意代码Prilex
时间 2018年03月09日 来源: Antiy
一、Prilex背景概述
安天在梳理网络安全事件时注意到针对ATM自动取款机的恶意代码家族Trojan/Win32.Prilex,其最初在2017年10月被披露用于针对拉丁美洲葡萄牙语系ATM的攻击活动。通过对Prilex分析发现,恶意代码使用Visual Basic 6.0(VB6)编写,代码中夹杂着“Ol?Jos?Boa tarde”等葡萄牙语,攻击者伪造并替换ATM应用程序屏幕,等待受害者输入密码,获取受害者密码信息后,将密码等数据回传到攻击者的远端服务器。
Prilex家族会影响特定品牌的自动取款机,这意味着攻击者在实施恶意攻击之前,需要对目标进行系列的渗透活动。因此,Prilex家族是攻击者在熟识目标之后,针对目标编写设计的、具有针对性的恶意代码。
图1.1 隐藏在恶意代码中等待用户输入代码的伪装ATM屏幕图片
经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)ATM专版可实现对Prilex家族的有效防御,保障终端安全。
二、样本分析
首先,第一个样本通过“cmd /c c:\windows\system32\hkcmd.exe”命令加载执行另一个恶意样本。关联查询获得第二个样本并将其复制到特定目录完成后续分析。对hkcmd.exe进行分析,发现其包括修改屏幕、回传数据等主要功能。
样本运行后,设置自身文件路径作为互斥量创建的参数,查看是否存在注册表“HKLM\SOFTWARE\Microsoft\VBA\Monitors”,如果该键值存在则恶意代码执行的操作可被拦截调试。
图2.1查看注册表HKLM\SOFTWARE\Microsoft\VBA\Monitors
通过静态反汇编VB代码发现,恶意代码调用GetForegroundWindow函数获取当前窗口的句柄,调用GetWindowText获取当前窗口标题,再使用自定义函数设置窗口参数,调用GetDesktopWindow函数返回桌面窗口的句柄,并覆盖整个屏幕。
图2.2自定义函数设置窗体
继续分析发现,恶意代码创建Winsock,设置远端服务器IP地址,可将信息回传给攻击者。
图2.3 回传代码
三、安天智甲防御技术
经验证,安天智甲ATM专版可以实现对Prilex家族的有效防御。
图3.1 安天智甲ATM专版对Prilex家族主动防御
安天智甲ATM专版面向银行终端,采用定制化白环境防御机制,可以有效防御Prilex类恶意代码攻击。Prilex家族的攻击需要在终端植入恶意文件样本并运行,当程序样本执行时,安天智甲ATM专版能够立刻感知启动行为,并通过本地缓存与云端记录校验文件身份,当发现启动文件为未知文件时自动阻止,并将事件信息上报至服务端。
目前,安天智甲ATM专版已被多家银行选用信赖。
四、安天智甲ATM专版简介
图4-1 安天智甲产品
图4-2 安天智甲管理中心
安天智甲ATM专版是一款面向银行客户的专用版本,可提供专用解决方案,不仅能够对常规病毒进行防御,还能够对勒索软件、APT等新型威胁进行有效防御,为银行ATM终端、办公柜员机等提供有效防护。
1、安天智甲ATM专版:定制化防护机制——解决银行终端防护问题
安天智甲ATM专版针对银行终端,采用定制化白环境防御机制,通过自主的反病毒引擎,对进入终端的各类文件进行实时监控与检测;通过构建的多种安全基线,能够阻止未知文件或进程的启动、未知USB设备的接入和未知网络的访问等危险行为,实现对传统病毒、勒索软件、APT等威胁的有效防护。
2、安天智甲ATM专版:快速精准的追溯定位——威胁全网追溯与定点清除
3、安天智甲ATM专版:多维的运维模式——灵活运维、安全生产两不误
安天智甲ATM专版客户端具有“小、轻、静”的特点,终端资源占用极低,无干扰弹窗,保障终端的稳定持续运行。专用运维模式+静默查杀模式,灵活运维、安全生产两不误。