在网络安全界，恶意软件的演变日新月异，其中 ERMAC V3.0 Banking Trojan 的出现尤为显著。2024年3月，Hunt.io团队意外发现并获取了完整的ERMAC V3.0源代码，为我们提供了一个独特的机会来深入研究这一实时活跃并持续维护的恶意软件即服务（Malware-as-a-Service）平台。一般而言，活跃及可操作威胁的完整代码泄漏亟属不易，而此次事件提供了难得的归属、基础设施映射和识别可被利用的弱点的机会。

ERMAC V3.0 的早期版本是基于泄露的Cerberus源代码构建的，至2023年晚些时候，2.0版又纳入了大量Hook botnet的代码基础。最新泄露的3.0版本展现了恶意软件显著的演变，扩大了其形式注入和数据盗取能力，能够针对700多个银行、购物及加密货币应用进行攻击。

本文将对泄露中的后端、前端面板、数据外泄服务器及构建工具进行深入探讨，详细阐述ERMAC的基础设施、操作技术及多个易受攻击的弱点，这些弱点可以被利用来干扰其活动。

我们的分析显示，ERMAC V3.0的完整源代码包括PHP和Laravel做的后端，基于React的前端，使用Golang的外泄服务器，以及用于构建的Android面板。泄露揭露了众多关键性弱点，例如硬编码的JWT秘密和静态管理员持有令牌、默认的根凭据，以及对管理员面板开放的帐户注册。版本3.0将目标扩展至超过700个金融、购物及加密货币应用，增加了新的形式注入方法，重新设计的C2面板、新的Android后门，以及AES-CBC加密通信。

Hunt.io通过HuntSQL分析，将泄露的文件与仍在在线运行的ERMAC C2面板、外泄服务器及构建部署相联系。这些发现证实了ERMAC作为维持的恶意软件即服务平台的角色，使操作员在目标选择、加密键及活动创建上具备灵活的控制。

在我们的调查中，首次发现始于2024年3月6日，Hunt.io的研究团队使用AttackCapture™工具，识别到了一个开放目录，位于141[.]164[.]62[.]236:443，其内包含一个名为Ermac 3.0.zip的档案。进一步分析表明，该压缩文件包含五个不同的目录：后端目录（backend），用于ERMAC C2后端的PHP；前端目录（frontend），用于ERMAC C2前端的React；Golang目录，包含用于数据外泄的HTTP服务器的Go二进制；Docker目录，存放Docker配置信息；构建工具目录（builder），包含ERMAC 3.0银行木马源代码及允许编译和混淆APK的面板。

回顾ERMAC的后端源代码，可以看到它采用PHP作为开发语言，并使用Laravel作为后台框架。这段代码库与泄露的Cerebus源代码没有重叠，体现了不同的路由、基础设施逻辑及功能。通过了解后端的接口，我们可以发现ERMAC操作员对受感染设备和被盗数据的控制范围，显示出他们的操作能力，使其能有效管理受害者设备及访问被盗数据，如短信日志、被盗帐户及设备信息。

ERMAC主要通过形式注入来捕获敏感数据，这一操作是通过便捷的调用方式来实现的。ERMAC针对的主要是金融应用，尤其集中于移动银行和加密货币应用，通过注入自定义HTML页面到700多个应用中，以捕获用户的登录凭据或信用卡数据。

分析过程中，我们也发现ERMAC后端存在的三个主要安全漏洞：一个硬编码的JWT令牌、静态的管理员凭据以及API能直接注册帐户的能力，这样便可以完全访问ERMAC的管理员面板。这些关键的弱点不仅是对ERMAC目前活动的一大警告，也为安全防御带来新的思考。

结论是，Hunt.io的研究表明，透过对ERMAC 3.0源代码的全面分析，我们暴露了此类木马在设计上的复杂程度及其在网络攻击中的独特角色。ERMAC的复杂性及其不断演进的威胁如同在网络犯罪中常见的恶性循环，再加上这样一款恶意软件统治了难以想象的市场需求。随着叶以上述内容的详细研究以及评估，我们期望为针对ERMAC等付费服务型恶意软件的未来防御策略提供有意义的启示及依据。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！