AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

Blackmoon银行木马新样本手艺剖析与防护计划

2017-05-18

宣布者：AG公司科技

《Blackmoon银行木马新样本手艺剖析与防护计划》内容先容

一、综述

在2016年报道的偷取凌驾15万韩国用户银行信息的Blackmoon银行木马于2017年又被发明接纳了全新的框架模式来对网络银行举行攻击，通过三个脱离但又相互联系的办法来安排该木马，并举行后续的攻击。这与在2016年的以adware和exploit kits为撒播方法的框架完全差别。

Blackmoon

早在2016年，Unit 42跟进并剖析了一个专门针对韩国银行的网络恶意运动，并将之命名为“KRBanker”即“Blackmoon”。Blackmoon的攻击方法与古板的MITB模式不太相同，主要是接纳“Pharming”的形式将用户重新定向到一个伪造的网站，从而骗取用户在冒充的页面输入的账户信息。伪造的网站IP通过使用QQ空间的API来转达，随后使用PAC(Proxy Auto-Config)与恶意的javascript来自动设置外地署理设置。用户在会见银行网站时，木马会检测该网站是否为攻击目的，若是是，就会将用户重新定向到伪造的网站，若是不是，则定向到正常的网站。

撒播方法：

旧撒播方法

2016年发明的Blackmoon样本均是以adware以及exploit kits(EK)模式来举行撒播并熏染用户机械。用来装置Blackmoon的EK叫做KaiXin，通过使用Adobe Flash的一些误差来撒播装置木马。另一个撒播途径是通过一个叫NEWSPOT的adware程序。用户装置了该程序后，通过该程序的update通道，Blackmoon木马会被下载到用户的机械上，随后木马会运行并且最先攻击。

新撒播方法

Fidelis于2016年底至2017年头又发明了一个奇异的三阶段框架，专门用来撒播安排Blackmoon银行木马。该框架通过顺次次安排拥有差别但相关功效的组件来完成完整的Blackmoon木马的撒播。Fidelis把这个框架称为Blackmoon下载器框架（如下图），包括初始下载器（Initial Downloader）字节下载器（Bytecode Downloader）以及KRDownloader。

二、样本手艺剖析

概述

此次事务与前几年针对韩国金融行业的木马BlackMoon有关，克日清静公司捕获了一系列新的样本，这些样本后续会下载BlackMoon到受害者的盘算机中，BlackMoon现在只针对以韩语为盘算机语言的目的，暂时并未发明涉及其他地区，在剖析之后我们以为这些新样本是一套下载套件，并且是自动天生的，其下载链接很是有纪律，应为统一时间天生的。

详细内容，请下载《Blackmoon银行木马新样本手艺剖析与防护计划》

Blackmoon银行木马新样本手艺剖析与防护计划下载

?

您的信息

<<上一篇

WannaCry勒索软件溯源剖析

>>下一篇

WannaCry变种样本起源剖析报告

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号