新型僵尸网络:Wonder Botnet深入分析

CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络,该恶意软件由Downloader和真正的Bot两部分组成,通过一些规避技术躲避检测分析,隐藏自己的恶意行为。

一、概述

在调查暗网恶意代码时,ZLab研究员发现了“NetflixAccountGenerator.exe”,这个标榜可以免费创建一个Netflix服务的高级账户,但下载安装之后它并没有这样做,而是安装了一个BOT。

恶意软件的研究人员分析这个exe文件,了解到该威胁程序首次上传在9月20 日,可能是该程序编写者为了测试它的隐藏能力。该恶意程序为一个活僵尸网络,研究人员称之为Wonder botnet ,其命令和控制服务隐藏在一个网站后面,这个网站为另一个网站的镜像。

israbye FreeBuf.COM

图1 左图为虚假页面,右图为原始页面

研究人员证实虚假的页面上“support.com”的链接为“wiknet.wikaba.com”,指向僵尸网络C2C的前端,有趣的是它的每一个链接都指向原始页面,研究人员点击一个链接后,被重定向到“support.com”上相应的页面。研究人员还发现了一些隐藏路径,其中包含bots使用的信息和命令。

二、组成情况

该恶意软件由两部分组成:

(1) Downloader:

一个仅用于下载和执行真正bot代码的.Net执行文件,并上传“pastebin.com/raw/E8ye2hvM”。

文件名称:wonder.exe

名称 详细信息
MD5 486954967e02a2e1577bd7dd91026102
SHA-1 27b2fc98c91dddf002cda77da3f44cf9a05d7fba
SHA-256 c3f5f5bfe39b55ffe0343950e0a4bf0433c35679a01daf07ce6c0ccc7d4da9b7
文件大小 365 KB

表1 Wonder下载者的属性信息

下载者的组成文件信息:

israbye FreeBuf.COM

(2) 真正的Bot

当它被下载执行后,会感染宿主,设置其持久性机制,并按照图中的流程开始其恶意行为。

Payload/Bot文件名称:Payload.exe

名称 详细信息
MD5 84fdcb1f23f592543381c85527c19aaa
SHA-1 cc2f96a2f4dbc4b0176bab37c22a48ebfe1bac06
SHA-256 15d390626fea8d06adc261e0588ec40d17b6a62a2320313073ba94809c5e0f4d
文件大小 205 KB

表2 Wonder Bot的属性信息

Wonder Bot的组成文件信息:

israbye FreeBuf.COM

通过使用一些静态分析工具,如PEiD,了解该恶意程序是基于.NET Framework,使用C#编写的。

israbye FreeBuf.COM

三、行为分析

整个感染过程从Wonder.exe文件执行成功后开始,它是有效负载的下载器,它会尝试连接“pastebin.com”来检索已编码的有效负载,如果机器未联网, Wonder.exe就会出现崩溃,如下图。

israbye FreeBuf.COM

图2 Wonder.exe崩溃

网络连接正常的情况下,这个下载者会尝试访问https://pastebin.com/raw/E8ye2hvM 来执行 Bot 负载。负载开始后会首先尝试解析域“wiknet.mooo.com”,由于该域名未注册,在失败后再成功解析域“wiknet.wikaba.com ”到 IP “104.200.67.190”,研究人员分析该IP指向 C2C ,访问这个网站出现上面图1中的虚假“ support.com”页面。

israbye FreeBuf.COM

图3 DNS请求分析

通过对其行为的分析发现存在以下可疑活动:

(1) 如上图中所示的DNS请求。

(2) 在“AppData/Local/ Temp”路径中创建一个文件,可能用于支持bot操作。

(3) 持久性机制,添加自身链接到“C:\ProgramData\Microsoft\Windows\StartMenu\Programs\ Startup”。

Bot和C2C之间的所有通信都在TLSv1层上,所以无法看到。

四、深度分析

(1) 规避行为

和其它的恶意软件一样,该恶意软件也使用一些规避技术来躲避检测和分析,它通过查找一些虚拟库,来隐藏自己的恶意行为,如下图。

israbye FreeBuf.COM

图4 Wonder Bot的规避行为分析

(2) 行为流程

Wonder恶意软件控制流程如下图所示:

israbye FreeBuf.COM

图5 Wonder Bot的行为流程图

由于它的bot性质,一旦安装在受害者机器上,就必须创建一个ID来标识自己进入僵尸网络,该ID 使用MD5算法加密,并向它添加一个静态字符串。

israbye FreeBuf.COM

图6 Bot ID创建

(3) 命令列表

通过进一步分析,得到Bot接收C2C的一些命令,如下表所示:

命令名称 命令描述
KEYWORD Add all files contained in a specific folder into a rar archive
KEY C彩色文字reate a file “ky” in the path. This file is a trigger to upload all info gathered to the C2C at the path “/log.php”
KEYS Delete the “ky” file
REUPLOAD Contact the C2C at the path “/FeedBack.php”
RESTARTME Restart the bot
BLOCK Create the kill switch and stop the bot
SCREEN Take a screenshot
LAN Create a file “LA” in the path. This file is a trigger to a feature not implemented yet.
LANS Delete the “LA” file
USB Create a file “us”+BOT_ID in the path. This file is a trigger to infect Removable Devices.
USBS Delete the “us”+BOT_ID file
HD Create a file “hd”+BOT_ID in the path. This file is a trigger to infect Hard Drives.
HDS Delete the “hd”+BOT_ID file
SHUTDOWN Shutdown the system
RESTART Reboot the system
PROCANDSOFT List all active processes and all installed softwares
DEL-TEMP Delete all files in “AppData/Local/Temp” path
RAR Create a RAR archive adding to it all the information gathered. The archive is sent to the C2C.
RARM Create a RAR archive adding to it all the information gathered in that month. The archive is sent to the C2C.
RARW Create a RAR archive adding to it all the information gathered in that week. The archive is sent to the C2C.
KILL Kill a specific process

表3 Wonder Bot 的命令列表

C2C通过“BLOCK”命令结束恶意软件,这个命令会在“AppData/Local/Temp”路径下创建一个新文件(“ Block~” +BOT_ID),该文件也可用于避免感染。关于该恶意软件的YaraRules及详细分析可查看ZLab的分析报告,下载链接为:

http://csecybsec.com/download/zlab/Wonder_botnet_ZLab_report.pdf

 

转载来自 FreeBuf.COM

本文由 华盟网 作者:小龙 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。