小心伪装成韩剧Torrent种子的歹意软件:GoBotKR歹意软件剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小心伪装成韩剧Torrent种子的歹意软件:GoBotKR歹意软件剖析

申博_行业观察 申博 56次浏览 未收录 0个评论

概述

宽大韩剧迷应当注意,现在存在经由过程Torrent种子流传的歹意软件,这些歹意软件以韩国影戏和电视节目作为幌子,许可进击者将受感染的盘算机衔接到僵尸网络,并对其举行长途掌握。

该歹意软件是名为GoBot2的公然后门的修正版本。进击者对源代码的修正主假如针对韩国的特定躲避手艺,在本文中对这些手艺举行了详细剖析。因为该歹意运动明白针对韩国,因而我们将其称为Win64/GoBot2变种GoBotKR。

依据ESET的遥测,GoBotKR自2018年3月以来一向活泼。歹意软件检测数目到达数百个,韩国遭到的影响最大(80%),其次是中国大陆(10%)和台湾(5%)。

歹意软件散布

GoBotKR已经由过程韩国和中国的Torrent种子网站流传,假装成韩国影戏、电视节目以及一些游戏。

该歹意运动背地的进击者试图诳骗用户实行歹意软件,经由过程运用具有诳骗性的文件名、扩大名和图标来引诱用户翻开。我们的剖析表明,假装成影戏/电视节目标种子一般包含以下范例的文件:

1、预期的MP4视频文件;

2、歹意可实行文件被封装为PMA压缩文件,其文件名模仿种种编码/解码东西的装置顺序;

3、文件名和图标假装成预期视频文件的歹意LNK文件。

下图展现了此歹意软件的Torrent内容示例:

小心伪装成韩剧Torrent种子的歹意软件:GoBotKR歹意软件剖析

那末,用户究竟是怎样中招的呢?

假如直接翻开预期的MP4文件,不会致使任何歹意操纵。这里的问题在于,MP4文件一般会隐蔽在差别的目次中,用户可以最早发明的就是假装成视频文件的歹意LNK文件。用户在Windows资本管理器中检察时,一般不会显示出LNK文件的扩大名,如上图所示,因而这进一步加大了用户翻开诳骗性LNK文件的可以性。

用户单击诳骗性LNK文件后,将实行歹意软件。然则,同时还会翻开目标文件(在本例中为视频),这就让受害者没有感觉到出了什么问题

之所以将歹意EXE文件重命名为PMA文件,也多是为了防备引发对潜伏受害者的疑心。我们看到,进击者还运用了游戏作为钓饵,并运用与游戏相干的文件名和扩大名。

在我们的观察过程当中,我们看到以下文件名用于歹意可实行文件,分别是:starcodec.pma、WedCodec.pma、Codec.pma(假装成影戏或电视节目)和leak.dll(假装成游戏)。个中的文件名“starcodec”主假如假装成正当的韩国编码/解码东西Starcodec。

歹意软件功用

GoBotKR是竖立在一个名为GoBot2的后门基本之上的,后门的源代码自2017年3月起公然宣布。原始版本和修正版本都运用GoLang言语(也称为Go)编写。只管歹意软件依然相对稀有,但GoLang歹意软件的新变种也正在涌现,其编译的可实行文件异常庞大,可以会为剖析职员带来应战。

GoBotKR的功用与公然宣布的GoBot2源代码在很大水平上有所堆叠,只举行了很少的修正。整体来讲,歹意软件在手艺上并非迥殊庞杂,而且完成起来相称简朴。大多数功用都是经由过程运用GoLang库,以及实行Windows敕令(如cmd、ipconfig、netsh、shutdown、start、systeminfo、taskkill、ver、whoami和wmic)以及第三方实用顺序(比方BitTorrent、uTorrent)。

网络信息

实际上,GoBotKR背地的进击者正在竖立一个僵尸网络,然后可以用僵尸网络实行各种DDoS进击(比方:SYN Flood、UDP Flood和Slowloris)。因而,GoBotKR在实行后,起首网络有关受感染盘算机的体系信息,包含网络设置、操纵体系版本信息、CPU和GPU版本,迥殊是,它还会网络已装置的反病毒软件列表。

上述信息将会被发送到C&C效劳器上,协助进击者肯定在特定进击中应当运用哪些僵尸主机。我们从剖析的歹意软件样本中提取到的一切C&C效劳器,都在韩国托管,而且由统一个人注册。

僵尸网络敕令

一旦与C&C效劳器竖立通讯,效劳器就会运用后门敕令指导受感染的盘算机。GoBotKR支撑异常规范的僵尸网络功用,有下面三个重要目标:

1、许可滥用受感染的盘算机;

2、许可僵尸网络运营商掌握主机,或进一步扩大僵尸网络范围;

3、回避检测或隐蔽被感染的状况。

下面是僵尸网络支撑的敕令:

1、对指定的受害者举行DDoS进击;

2、接见URL;

3、实行文件、敕令、剧本;

4、更新、住手或卸载;

5、封闭、重启、注销盘算机;

6、在IE中变动主页;

7、转变桌面背景;

8、流传Torrent种子;

9、将本身复制到已衔接的可挪动介质上,并设置自动运转功用;

10、将本身复制到云存储效劳(Dropbox、OneDrive、Google Drive)的大众文件夹中;

11、运转反向代办效劳器;

12、运转HTTP效劳器;

13、变动防火墙设置,编辑主机文件,翻开端口;

14、启用/禁用使命管理器;

15、启用/禁用Windows注册表编辑器;

16、启用/禁用敕令提示符;

17、住手一个历程;

18、隐蔽历程窗口。

我们迥殊关注个中的“流传Torrent种子”和“举行DDoS进击”的才能。

“流传Torrent种子”敕令许可进击者滥用被感染的主机,经由过程BitTorrent和uTorrent顺序流传恣意文件,纵然上述两个顺序未装置在主机上也可以。这可以用作进一步分发歹意软件的机制。

“举行DDoS进击”敕令许可进击者滥用受害者的网络带宽来影响目标效劳(比方网站)的可用性。依据我们的剖析,这很多是GoBotKR僵尸网络的重要目标。

歹意软件的回避手艺

在本节中,我们将讨论GoBotKR后门运用的回避手艺。只管公然的源代码中已存在很多手艺,但GoBotKR的作者进一步扩大了它们的特性。这表明,进击者针对特定的目标定制了歹意软件,同时在其歹意运动中举行了分外的勤奋,以保证不会被发明。

从GoBot2猎取的手艺

GoBotKR采纳GoBot2源代码中的一些回避检测和反剖析手艺,详细以下:

1、歹意软件在体系上装置了两个本身的实例。第二个实例(看管顺序)将看管第一个实例是不是处于运动状况,假如发明第一个实例已从体系中被删除,则会重新装置。

2、歹意软件采纳反病毒绕过手艺,分派大块内存并耽误实行歹意Payload,以防备反病毒引擎因资本限定而模仿代码。

3、歹意软件可以检测特定的平安产物和剖析东西是不是存在(比方调试器)。假如检测到这些产物或东西,则自动住手运转。

4、假如受害者的IP地点属于黑名单构造所具有的IP地点(比方Amazon、BitDefender、Cisco、ESET),则歹意软件会自行住手。

5、歹意软件运用外部正当网站来查询IP信息,并在此信息中搜刮硬编码的字符串(比方:“cloud”、“Cisco”、“Microsoft”),并没有运用API函数来完成这一点。

6、假如歹意软件的文件名由32个十六进制字符构成,那末歹意软件将会自行住手,如许会阻挠在某些自动化沙箱中实行Payload。

GoBotKR独占的修正

GoBotKR的作者在歹意软件中新增了三种新的回避手艺,与他们针对韩国的关注有关:

1、歹意软件会检测受感染盘算机的IP信息,来确认它是不是属于被列入黑名单的构造。在GoBot2中,受害者的IP地点是经由过程接见Amazon Web Service或dnsDynamic并剖析相应来肯定的。

2、在我们剖析的GoBotKR样本中,这些URL被韩国在线平台Naver和Daum所庖代。

3、GoBotKR采纳了一种新的回避手艺,可以扫描受感染体系上运转的历程,以检测特定的反病毒产物。假如检测就任何产物的存在,歹意软件将自行住手,并从主机上删除其运动的一些陈迹。检测的历程列表中,包含韩国平安公司AhnLab的产物。

GoBotKR检测的平安产物列表:

V3Lite(AhnLab, V3 Internet Security)

V3Clinic(AhnLab, V3 Internet Security)

RwVnSvc(AhnLab Anti-Ransomware Tool)

Ksde(Kaspersky)

kavsvc(Kaspersky)

avp(Kaspersky)

Avast(Avast)

McUICnt(McAfee)

Shellcode天生东西Donut测试剖析

0x00 前言 Donut是一个shellcode生成工具,可以将.NET程序集转换为shellcode。这是对execute-assembly的进一步利用,隐蔽性更高,可扩展性更强。 结合byt3bl33d3r的SILENTTRINITY,将其转换为shellcode并进行注入,适用性更广。 本文将会对Donut进行测试,逐个分析Donut工程中的代码,总结这个工具的特点。 注:本文测试的版本使用的是Donut v0.9,新版本将会添加更多的功能,值得持续关注 0x01 简介 本文将要介绍以下内容: · 相关技术介绍 · 源码结构 · 实际测试 · 利用分析 0x02 相关技术介绍 1.Assembly.Lo

360(360 Total Security)

kxe(Kingsoft Antivirus)

kwsprotect(Kingsoft Internet Security)

BitDefender(BitDefender)

Avira(Avira)

ByteFence(ByteFence)

4、歹意软件会尝试检测体系上是不是运转剖析东西。假如检测就任何一个剖析东西,歹意软件将自行住手。该列表在内部被命名为“ahnNames”,多是对AhnLab的另一次援用。

歹意软件的运转中历程黑名单在内部被命名为“ahnNames”:

除了援用AhnLab以外,依据我们从歹意软件中取得的元数据表明,上述第二点和第三点中的防备手艺,运用了AhnLab.go的文件名被增加到源代码当中。

时候线

因为歹意软件经由过程种子流传,因而很多样本都被损坏,或许已不完整。然则,我们可以恢复出C&C效劳器和内部版本信息。

自从歹意软件的初次涌现以来,我们监测到内部版本为2.0、2.3、2.4和2.5的样本。个中的每个版本都带有一些小的手艺革新,或实行上的差别。版本掌握与GoBot2源代码中运用的版本差别,后者运用内部称号“ArchDuke”。

下表中列出了从2018年5月到撰写本文时ESET体系检测到的差别版本的GoBotKR。在时候线中,包含歹意软件的内部版本和初次发明的时候。因为PE时候戳已从样本中被消灭,因而我们不得而知。

GoBotKR版本时候线:

小心伪装成韩剧Torrent种子的歹意软件:GoBotKR歹意软件剖析

表2. GoBotKR版本时候表

如上表所示,2018年5月检测到的第一批歹意软件样本还还没有针对韩国目标举行定制,因而险些与GoBot2源代码雷同。然则,因为该版本的歹意软件与下一版本针对韩国目标的歹意软件运用了雷同的C&C效劳器,因而我们能将两者关联起来。

平安发起

假如用户疑心本身可以已成为该系列歹意软件的受害者,我们发起用户运用牢靠的平安解决方案对盘算机举行扫描。ESET产物检测该要挟为“Win64/GoBot2”,并将阻挠该歹意软件。用户可以运用ESET的免费在线扫描顺序搜检盘算机上是不是存在此要挟,同时可以删除检测到的任何内容。

经由过程Torrent种子网站分发的盗版视频内容,是一种尽人皆知的流传种种歹意软件的序言。为了防止今后发作此类进击,发起在下载内容时对峙挑选官方的泉源。在运转下载的文件之前,请注意它们的扩大名是不是与预期的文件范例婚配。为了庇护盘算机,我们发起宽大用户按期更新补丁,并运用信用优越的平安软件。

注册表项

GoBotKR运用的注册表项是位于[HKCU\SOFTWARE]下的一个子项,个中包含来自硬编码列表的变量称号,重要模仿正当的软件称号。

歹意软件将运用以下注册表项:

ID

INSTALL

NAME

VERSION

REMASTER

LAST

WATCHDOC

MITRE ATT&CK手艺

1、初始接见

T1189 引诱感染 GoBotKR经由过程Torrent文件同享网站被分发给韩国的受害者,运用游戏或韩国影戏/电视剧作为钓饵。

2、实行

T1059 敕令行界面 GoBotKR运用cmd.exe来实行敕令。

T1064 剧本 GoBotKR可以下载并实行剧本。

T1204 用户实行 GoBotKR将歹意软件假装成用户盘算下载的Torrent内容,并诱运用户点击。

3、耐久化

T1060 注册表运转键/启动文件夹 GoBotKR在注册表运转键下装置其本身,以竖立耐久性。

T1053 计划使命 GoBotKR增加注册表运转键值,从而竖立用于歹意软件耐久化的使命。

4、权限提拔

T1088 绕过用户帐户限定 GoBotKR尝试运用注册表挟制手艺绕过UAC。

5、回避防备

T1140 反殽杂/解码文件或信息 GoBotKR运用Base64来殽杂字符串、敕令和文件。

T1089 禁用平安东西 GoBotKR可以运用netsh来增加当地防火墙划定规矩破例。

T1158 隐蔽文件和目次 GoBotKR将本身存储在具有Hidden和System属性的文件中。

T1070 移除主机上的陈迹 GoBotKR从文件的ADS(备用数据流)中删除地区标识符,以隐蔽文件是从互联网下载的这一现实。

T1036 假装 GoBotKR运用与正当软件关联的文件名和注册表项称号。

T1112 修正注册表 GoBotKR将其设置数据存储在注册表中。GoBotKR可以修正注册表项以禁用使命管理器、注册表编辑器和敕令提示符。

T1027 殽杂的文件或信息 GoBotKR运用Base64来殽杂字符串、敕令和文件。

T1108 冗余接见 GoBotKR在体系上装置本身的副本,假如已删除主文件,副本将会监控到这一状况并重新装置主文件。

T1497 假造化/回避沙箱

GoBotKR对受感染的盘算机实行多项搜检,以防止在沙箱中模仿或实行。

6、侦察

T1063 平安软件侦察 GoBotKR搜检与平安产物和调试东西相干的历程,假如搜检就任何历程,则住手其本身。他可以运用wmic敕令罗列已装置的反病毒软件。

T1082 体系信息侦察 GoBotKR运用wmic、systeminfo和ver敕令网络有关体系和已装置软件的信息。

T1016 体系网络设置侦察 GoBotKR运用netsh和ipconfig来网络有关网络设置的信息。它运用Naver和Daum来猎取客户端的IP地点。

T1033 体系一切者/用户侦察 GoBotKR运用whoami猎取有关受害者用户的信息,将会运转测试以肯定受感染用户的权限级别。

T1124 体系时候侦察 GoBotKR可以猎取受感染体系的日期和时候。

7、横向挪动

T1105 长途文件复制 GoBotKR尝试将本身复制到云存储效劳(Google Drive、Dropbox、OneDrive)的大众文件夹,它还可以经由过程指导受感染的盘算机运用歹意文件流传种子来完成本身的流传。

T1091 经由过程可挪动介质举行复制 当用户在另一个体系上翻开可挪动介质时,GoBotKR可以将本身安排在可挪动介质上,并依靠自动运转来实行歹意文件。

8、网络

T1113 屏幕截图 GoBotKR可以捕捉屏幕截图。

9、敕令与掌握

T1090 衔接代办 GoBotKR可以用作代办效劳器。

T1132 数据编码 与C&C效劳器的通讯是以Base64情势编码的。

T1105 长途文件复制 GoBotKR可以下载其他文件,并举行自行更新。

T1071 规范应用层协定 GoBotKR运用HTTP或HTTPS举行C&C通讯。

T1065 不经常使用的端口 GoBotKR运用非规范的端口,比方6446、6556、7777,用于与C&C举行通讯。

10、进击

T1499 终端拒绝效劳 GoBotKR已被用于实行终端DDoS进击,比方TCP Flood和SYN Flood。

T1498 网络拒绝效劳 GoBotKR已被用于实行网络DDoS

T1496 资本挟制 GoBotKR可以应用受感染盘算机的网络带宽流传种子或实行DDoS。

原文地点: https://www.4hou.com/malware/19193.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小心伪装成韩剧Torrent种子的歹意软件:GoBotKR歹意软件剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址