络安全公司Proofpoint于近日发文称,一种名为“Buer(帕尔)”的全新下载型木马病毒如今已经成长到了足以媲美其老前辈“Smoke Loader”的地步,且已经在暗 市场上积累了一大批忠实粉丝。
暗 广告及功能概述
据称,Proofpoint公司最初发现Buer的时间是在今年的8月28日。在当时,它主要被一些攻击者用来下载并运行Dreambot(银行木马Ursnif的一个变种)。
图1.携带Buer的Microsoft Word附件示例
通过在暗 搜索,Proofpoint公司很快发现了有关Buer的销售广告。
Buer的定价为400美元,包括配套安装服务,即你只需要付钱,至于如何将Buer安装到目标计算机上并确保正常运行全由卖家搞定。
不仅如此,卖家还表示,后续的更新和BIG修复全部免费,但“新建地址”则需要收取25美元的附加费。
图2. Buer的销售广告
广告同时还列出了Buer的控制面板功能,并指出模块化Bot是完全采用C语言编写的,使用的是采用.NET Core编写的控制面板。
总而言之,卖家想要强调的是,由于编程语言的选择,无论是Buer的客户端,还是服务器,都具有较高的性能。
图3.Buer控制面板的登录页面
根据描述,Buer客户端的总大小在55至60KB之间,可以作为Windows可执行文件和动态链接库驻留在内存中运行,并且同时兼容32位和64位Windows操作系统。
值得一提的是,该病毒被设定为无法在独联体国家(前苏联国家,例如俄罗斯)的计算机上运行。
如上所述,由于控制面板是采用.NET Core编写的,因此能够轻松地在Ubuntu/Debian Linux系统上进行安装。
控制面板提供了大量的统计信息,包括在线/活跃/离线/总感染主机的数量、受感染主机列表的实时更新、文件下载计数器,同时还支持按操作系统类型、访问权限、逻辑CPU内核数对受感染主机进行筛选。
图4. Buer控制面板的受感染主机统计页面
图5. Buer控制面板的筛选显示页面(按“Microsoft Windows”筛选)
图6. Buer控制面板的任务创建页面
恶意软件分析
顾名思义,作为一种下载型木马病毒,Buer能够下载并执行其他恶意软件。
反分析功能
Buer具备一些最基本的反分析功能:
图7.硬编码的语言代码
长久驻留
Buer能够通过配置注册表RunOnce条目来实现在手感染主机上的长久驻留——注册表项要么直接执行病毒,要么安排一个任务来执行它,具体取决于Buer的版本。
命令与控制(C&C)
命令与控制(C&C)功能通过HTTP(S)的GET请求进行处理,命令信标示例如下图所示:
图8. 命令信标示例
这些请求会转到“update API”,并包含一个加密的参数,该参数可以通过以下方式解密:
以下是明文参数的一个示例:
88a5e68a2047fa5ebdc095a8500d8fae565a6b225ce94956e194b4a0e8a515ae|ab21d61b35a8d1dc4ffb3cc4b75094c31b8c00de3ffaaa17ce1ad15e876dbd1f|Windows 7|x64|4|Admin|RFEZOWGZPBYYOI
它包含使用“|”符 分隔的数据,包括:
命令信标响应示例如下图所示:
图9.命令信标响应示例
解密后的纯文本响应示例如下:
图10.解密后的纯文本响应示例
解密后的文本是一个JSON对象,其中包含有关如何下载以及执行有效载荷的各种选项:
type-包含两种类型:
options-指定要下载的有效载荷的选项:
method-执行Method类:
Parameters-在命令行中传递的参数
pathToDrop-未启用
autorun-指示是否为有效载荷设置注册表RunOnce,以实现长久驻留
modules-未启用
timeout-未启用
从C&C服务器下载有效载荷是通过对“download API”的请求完成的,如下图所示:
图11.从C&C下载有效载荷
结论
在近期的各种恶意活动中,下载型木马病毒Buer频频出现,作为第二阶段有效载荷的恶意软件包括Dreambot、TrickBot、KPOT、Amadey和Smoke Loader等。
这种全新的下载型木马病毒具有强大的地理位置定位和反分析功能,且目前正在暗 市场出售。鉴于暗 市场上的广告以及硬编码的语言代码,它的开发者被认为很有可能来自母语是俄语的国家。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!