首頁 > 資安知識庫 > 駭客攻防與惡意程式威脅 > 惡意程式、病毒與木馬

Hidden Virtual Network Connection (HVNC)

作者:資策會資安科技研究所 -2017 / 12 / 14 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
現今金融業為駭客一個很大的目標之一,Banking Trojan亦為攻擊金融業一個很重要的惡意程式之一,駭客在成功入侵了系統之後,會透過許多方式對受害者進行控制,包括了VNC、VPN、自行架設Tunnel、建立後門等控制方式。
VNC是一種遠端共享桌面軟體,在遠端可以透過VNC的連線,進而對受控電腦進行管理或控制,而身為一個Banking trojan/Banking backdoor,當然在控制受害電腦時,會想辦法讓自己的行為被隱藏,但VNC在控制時,並不像command line可以在背景利用script的方式執行,執行圖形介面的操控時,很難不被受害端發現,HVNC的攻擊流程圖,如下圖所示:


圖1 HVNC攻擊流程圖 

因為國外或國內目前很多金融業在登入自己的金融帳號密碼時,是有綁定固定的電腦(ex. 瀏覽器、作業系統版本語系、時區),若從別的電腦登入,則會發出警訊給受害者做身份的確認,因此駭客想要控制受害電腦進行控制,而最大的目的就是利用受害者的電腦與帳密,進行金錢的盜轉或交易。
攻擊者為了解決使用VNC共享桌面會被受害者發現的問題,因此發展出了Hidden VNC,主要目的即為了掩飾自己的控制行為,避免受害電腦的使用者發現,進行資安通報或事件處理流程,而將好不容易植入的malware清除。
在駭客成功植入惡意程式並且在受害電腦執行後,遠端控制bot的中繼站,會運用相關的工具,例如:Citadel(Atmos),如下圖所示

圖2 Bot控制與產生惡意程式工具


這個Bot C&C控制工具,攻擊者可以自己Build Config,內容包括要產生什麼惡意程式,惡意程式要到那個中繼站去做報到,如下圖所示



圖3.1 Build Config 

再來按下Build Bot,此工具就會自動依照上述的Config,來產生要到攻擊者報到的惡意程式,如下圖所示

圖3.2 Build Malware


1
推薦此文章
1
人推薦此新聞
文章回應話題
J.C. Lin 發表於: 2018 / 01 / 02
Good article.
J.C. Lin 發表於: 2018 / 01 / 02
Good article.
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…