深入剖析BokBot的中间人攻击方式（上）

一、BokBot:代理模块CrowdStrike在最近的一篇博文中对BokBot的核心模块做了深入分析，而本篇文章作为前篇内容的延伸，将对BokBot代理模块的内部工作原理做深入探讨。BokBot代理模块是一段十分复杂的代码，其主要目的是诱骗受害者将敏感信息发送到命令和控制(C2)服务器。 二、概述BokBot银行木马（也被称为IcedID）于2017年4月首次被发现，自那时起，CrowdStrike便对其展开了持续跟踪工作。BokBot被攻击者们广泛用于打击全球范围内的金融机构。它能通过检索多个模块来增强其功能，其中一个就包括运行本地代理服务器的模块，此模块能够拦截并潜在地操纵web流量，最终目的是用于金融诈骗。BokBot核心模块能下载代理模块，并将其注入派生的svchost子进程中，而代理模块能在目标 ………………………………