Blackmoon银行木马新样本技术分析与防护方案.PDFVIP

Blackmoon 银行木马新样本 技术分析与防护方案 发布时间：2017 年5 月15 日 综述 在2016 年报道的盗取超过15万韩国用户银行信息的Blackmoon 银行木马于 2017 年又被发现采用了全新的框架模式来对网络银行进行攻击，通过三个分开 但又彼此联系的步骤来部署该木马，并进行后续的攻击。这与在 2016 年的以 adware 和exploit kits 为传播方式的框架完全不同。 Blackmoon 早在 2016 年，Unit 42 跟进并分析了一个专门针对韩国银行的网络恶意活 动，并将之命名为“KRBanker”即“Blackmoon”。 Blackmoon 的攻击方式与传 统的MITB 模式不太相同，主要是采用“Pharming”的形式将用户重新定向到一 个伪造的网站，从而骗取用户在冒充的页面输入的账户信息。伪造的网站 IP 通 过利用 QQ 空间的 API 来传递，随后利用 PAC(Proxy Auto-Config)与恶意的 Javascript 来自动配置本地代理设置。用户在访问银行网站时，木马会检测该 网站是否为攻击目标，如果是，就会将用户重新定向到伪造的网站，如果不是， 则定向到正常的网站。 @ NSFOCUS 2017