去哪儿风控揭秘(1)-如何对付网银大盗(木马钓鱼)

2021-02-16 07:33 290人阅读评论(0)

简介: 风控部门作为去哪儿的核心部门，它的组织架构及业务都有哪些呢？
曾经负责易宝支付风控体系的风控技术总监，到去哪儿全面负责风控部门产品、技术、运营。
数据分析专业在团队中获得重视，但也是以产品经理岗位出现，所以产品经理中有不少是有数据分析基础从业经历，比如，当时有一位产品经理是从百度支付过来的。

1 在线业务-钓鱼案例及对策

木马样本分析

案件：受害人在QQ被骗接收到木马伪造的图片，打开后被植入
用户接受木马运行后：
衣服专柜细节图.exe 样本大小108 MB (113,685,977 字节)

1.木马尾部附加垃圾数据，增大体积，对抗云安全类安全软件

2.木马结束金山卫士相关进程KSafeSvc.exe 和KSafeTray.exe，使其失效

3.木马通过篡改browser UI CLSID注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32\，将其指向到
c:\windows\f6dk.dll(可能是随机名称），达到自启动的目的

4.木马释放c:\windows\cttyogon.exe并运行
这个程序会释放c:\windows\tddownload\51kakeycode.dll和c:\windows\tddownload\scvhost.exe
并执行scvhost.exe
接着退出
scvhost.exe进程会等待支付面出现，进行页面跳转和篡改，从而进行网银窃取
5.木马的cttyogon.exe进程会修改注册表：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN
下iexplore.exe 为0 ，关闭系统默认的LMZL（Local Machine Zone Lockdown本机域锁定功能），使IE的域安全提示失效
启动后，访问易宝支付网站的IP