来自 CC防护 2022-05-13 09:10 的文章

ddos高防ip_ddos高防服务器_3天试用

ddos高防ip_ddos高防服务器_3天试用

Win32/64:Napolar:New特洛伊木马在网络犯罪现场大放异彩

最近几周,AVAST名称池中解析为Win32/64:Napolar的恶意软件样本在我们的文件和网络屏蔽中产生了大量点击。独立地,我们观察到2013年5月左右开始的一个名为Solarbot的新特洛伊木马的广告活动。这一活动不像我们过去习惯的那样,通过阴暗的黑客论坛进行,而是通过在主要搜索引擎中索引的网站进行。该网站名为 并以专业外观设计展示其产品:

对于Win32/64:Napolar特洛伊木马,用于进程间通信的管道名为\\.\pipe\Napolar。再加上诸如"CHROME.DLL"、"OPERA.DLL"、"trusteer"、"data_inject"等字符串的出现,以及我们将在后面提到的功能,我们几乎毫不怀疑特洛伊木马和Solarbot是一致的。让我们来看一些分析。

滴管

一个初始二进制文件以SFX存档的形式出现,命名方式与Photo_021-类似,它处理两个事件:无声地执行特洛伊木马的滴管和显示分散注意力的女孩图像:

作者声明中的信息,说Solarbot是用Lazarus IDE为免费Pascal编写的。我们无法回忆起共享此财产的任何专业或商业特洛伊木马程序。另一方面,ddos攻击防御公司,我们无法确认分析的二进制文件是否用Free Pascal编写,因为PE头中的许多信息与Free Pascal编译的常用二进制文件不同。

核心可执行文件的结构如下:

最初的x86部分还用于识别系统的体系结构。对于64位系统,提取并加载相应的模块。LDE64(长度反汇编引擎)是基于BeaEngine的32位官方工具,能够在32位和64位体系结构中解码指令。精细修改系统函数可能需要反汇编(正确挂接自定义函数或模拟一段原始代码)。

如广告页所述,所有重要的WINAPI函数,包括KERNEL32.DLL、NTDLL.DLL、WININET.DLL、WS2_32.DLL、SHLWAPI.DLL、,PSAPI.DLL由CRC32哈希解析(CRC32哈希算法的常量表位于地址0xFF395A处),并存储在虚拟表中。还观察到一些与IsDebuggerPresent和OutputDebugString函数相关的反调试技巧。安装到%AppData\lsass.exe中后,bot将在虚拟地址0xFE0000的新分配内存中启动其实例,并自行终止。这意味着它无法在运行进程列表中识别。

为了找到这种感染的分布,我们分析了部分相关检测的表现。这种发病率每天至少会达到几百台独特的计算机,而对于所有Solarbot样本来说,可能会更高一点。受感染最严重的地区是南美洲和中美洲国家哥伦比亚、委内瑞拉、秘鲁、墨西哥和阿根廷;菲律宾和越南的亚洲国家以及欧洲的波兰:

通信协议

到目前为止,已经确定了一些网关URL(C&C服务器):xyz25.com、cmeef.info、paloshke.org。后者是由臭名昭著的Bizcn.com,Inc.注册的。我们在博客中提到了在这个欺诈性的防ddos攻击的部署注册商注册的域名上的虚假修复工具。广告网站solarbot.net的注册信息如下:

注册人的联系信息隐藏在PRIVACYPROTECT.ORG背后,PRIVACYPROTECT.ORG是一项被各种参与恶意活动的团体所吸引的服务。

获取要执行的命令的初始HTTP POST请求如下所示这:

v=1.0&u=USER_NAME&c=COMP_NAME&s={7C79CE12-E753-D05E-0DE6-DFBF7B79CE12}&w=2.5.1&b=32

其中s字符串表示从受害者环境生成的后续RC4解密的密钥,v表示机器人的版本。数字1.0表明,我们正面临该机器人的初始开发阶段。

在成功请求后,会有响应。正如我们提到的,企业安全防护,它是用RC4加密的,维盟ddos防御设置,正确的密钥在POST查询中是未加密的。普通响应结构采用以零字节分隔的字符串数组的形式。每个字符串都以一个字节开始,该字节标识一个命令号(总共观察到15个不同的开关情况),并附加相应的普通字符串。对于连接延迟(命令0xC),它是秒数(我们通常看到3600秒);对于与下载相关的命令,它是指向文件的URL,后跟控制哈希和解密密钥(命令0x12);对于附加二进制文件的安装,可使用命令0x2,例如下载名为WalletSteal.bin的比特币钱包盗窃插件。根据bitcoin.org的定义,比特币钱包相当于比特币网络上的物理钱包,其中包含私钥,允许用户在比特币交易的公共记录中使用分配给它的比特币。实际上,这是承诺的插件支持的一个例子。插件被加密放置在%AppData中的临时目录SlrPlugin中。

功能

以下功能列表在网站上正式发布:

我们已经看到了FTP和POP3抓取器、反向Socks 5或功能模块化基础等已实现的功能。有相关字符串("SSL"、"http://"、"http://"、web浏览器库名称、"NSS层"、"数据\u开始"、"数据\u注入"、"数据\u结束")表明浏览器中存在人攻击的可能性。事实上,ddos云防御百科手机版,我们观察到,网上银行网站的表格内容以未加密的形式发送给C&C,但仅在该网站要求声誉或证书验证的情况下。这可能与内部URL列表有连接(; ; ; ; :8088/search.naver),使用内部命令0xF远程更新。