俄罗斯浮现新型银行木马Silence，或与Carbanak有关

近日，卡巴斯基实验室的研究人员发现了一种新型木马——Silence，犯罪组织利用它对俄罗斯，马来西亚，亚美利亚的银行进行了网络攻击。

卡巴斯基的 GreAT 调查小组表示：

2017 年 9 月，我们发现了一种专门针对金融机构的网络攻击，受害者大多集中在俄罗斯银行。攻击者使用了一种十分有效的技术来窃取银行资金：长期访问银行内网，监控职员日常工作，了解银行内部的运作过程和日常软件，然后利用这些信息窃取更多的钱。

虽然没有直接线索将该木马和臭名昭著的 Carbanak 组织（该组织专门对银行进行网络攻击）联系在一起，但攻击者的作案手法和 Carbanak 类似。从这点上可以看出，Silence 很可能是 Carbanak 的故技重施，或是别的组织在看了安全公司对 Carbanak 的技术分析后，仿效了这次攻击。

Silence 攻击是如何发生的

研究人员对整个攻击事件进行了还原，发现最初的攻击手段很常见，攻击者首先拿到了银行雇员的电子邮箱账号。（有可能是使用了恶意软件，也有可是使用了以前网上泄露的账号密码。）

Silence 利用银行员工的账户向其他银行同事发送钓鱼软件。目的是为了找出哪些人可以访问银行管理系统。

钓鱼邮件

这些邮件包含 CHM 附件（编译后的 HTML 文件）。如果受害者下载并打开了这些附件，CHM 文件就会运行一段 javascript 代码，并下载恶意程序执行第一阶段的 playload。

CHM 格式文件：

CHM是英语“Compiled Help Manual”的简写，即“已编译的帮助文件”。CHM是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。

CHM文件格式是微软1998年推出的基于HTML文件特性的帮助文件系统，以替代早先的WinHelp帮助系统，它在Windows 98中把CHM类型文件称作“已编译的HTML帮助文件”。被IE浏览器支持的JavaScript、VBScript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等，CHM同样支持，并可以通过URL与Internet联系在一起。

研究人员表示该恶意程序是一个“dropper”，它是一个 Win32 可执行程序，可以将受害者电脑中的数据发送到攻击者的 C&C 服务器上。

Silence 工作原理：不断截屏，记录受害者电脑工作情况

如果攻击者认为受感染 PC 有利用价值，他们就会发送第二阶段的 playload——Silence 木马，它的主要功能就是不断截屏受害者的电脑桌面。

这些截图的拍摄间隔很短，然后会上传到 C＆C 服务器上，这样就创建了一个可以监视员工活动的伪视频流。

C&C IP

攻击者之所以选择屏幕截图这样的方式，而不录制实际的视频， 好处在于这样可以利用较少的 PC 资源，这样就很难检测到它，这也是 Silence 名字的缘由。

然后攻击者可以查看这些截图，从中寻找他们可以进一步利用的信息，比如银行内网资金管理系统后台网页 URL，可以利用的本地应用程序，或者审视银行内网电脑的大致情况。

研究人员表示，攻击者在整个过程的后半段，利用的是合法的 Windows 管理工具在后台运行，成功隐藏了自己行踪，而这正是 Carbanak 以前使用过的技术。

此之后的攻击细节，卡巴斯基没有透露，而涉及哪些银行，偷走了多少钱，也没有透露。

这些银行劫匪越来越有“创意”

Silence 出现标志着犯罪分子已经将攻击目标从普通用户转向了银行，因为对比用户来说，银行能窃取的钱要更多。随着越来越“高级”的银行网络抢劫事件的发生，这种趋势越来越明显，无论银行的安全架构多么完善，攻击者悄悄行事的“作风”还是令人担忧。

针对俄罗斯银行的网络攻击，Silence 已经不是第一次了。早在以前，Trustwave SpiderLabs 就发现了另外一个黑客组织，使用“overdraft” 技术来攻击银行，从几个东欧金融机构窃取了 4000 万美元。

而 Carbanak 以前的活动还使用过 Google 合法服务（Google Apps Script, Google Sheets, 和 Google Forms ）部署 C&C 服务器，并诱骗银行技术支持部门员工打开含有恶意软件的文档。而这些员工的电脑在后续的侦测数据和直接攻击中起到了关键作用。

Silence 木马更详细的技术分析，IOCs，可移步卡巴斯基发布的报告。

参考链接：

https://www.bleepingcomputer.com/news/security/-silence-trojan-records-pseudo-videos-of-bank-pcs-to-aid-bank-cyber-heists/

http://www.securityweek.com/new-silence-trojan-used-ongoing-bank-attacks

http://securityaffairs.co/wordpress/65061/cyber-crime/silence-group-bank-attacks.html

*本文作者：Liki，转载请注明来自 FreeBuf.COM