ESET安全报告:在取缔Andromeda(仙女座)僵尸网络的联合行动中,我们做了什么?

背景介绍

近日,ESET发布了一份与执法机构合作共同努力取缔了Andromeda(仙女座)僵尸网络的报告。Andromeda(又名 Gamarue 或 Wauchos,)僵尸网络是一个历史悠久的、影响范围广泛的大型犯罪网络,而这次联合行动涉及了全球各地的多个执法机构以及微软和ESET等私营企业。据悉,针对Andromeda(仙女座)的侦查活动持续了一年多的时间,12月4日正式收官。

*由于ESET习惯将称之为Wauchos,因此下文使用“Wauchos”这个名称,其等同于Andromeda(仙女座)。

ESET参与取缔Wauchos的联合行动

ESET对Wauchos(被ESET标识为Win32/TrojanDownloader.Wauchos)的监测记录显示该恶意软件工具包从2011年9月起就在多个地下论坛被出售,颇受网络犯罪分子的欢迎,有多个独立的僵尸网络都在使用Andromeda恶意软件家族的程序。

由于Wauchos僵尸网络的影响范围相当广泛,存活时间又很长,因此很多ESET用户饱受困扰,所以当微软公司提出想要一起合作撤除这一大型犯罪网络时,ESET方面无条件表示同意。

ESET方面为联合行动提供了技术支持,研究人员密切跟踪Wauchos僵尸网络,识别其C&C服务器以便于撤除它们,并监控了它在受害者系统上的操作行为。作为联合行动的一部分,与微软合作,向执法机构提供有价值的信息,其中包括:

  • Wauchos僵尸网络C&C服务器有关的1214个域名和IP地址
  • 464个不同的僵尸网络
  • 80个相关恶意软件家族

下图1展示了ESET关于Wauchos僵尸网络感染情况的遥测数据。明显可以看出,Wauchos僵尸网络是一个全球性的问题,取缔它是一件有意义的事。由于一些法律程序方面的原因(尤其是涉及到逮捕行动),因此选择了一年之前的一些较旧的数据。不过2016年12月正是Wauchos僵尸网络活动的高峰期,因此这些数据更能代表我们对Wauchos僵尸网络的研究工作。

图1:Wauchos僵尸网络在全球的感染情况(2016年12月)

 

Wauchos是什么?

Wauchos(即Andromeda),是一种已经存在数年的非常流行的恶意软件,曾被多家网络安全公司报道过(参加本文末尾的【更多资料】)。

本文,我们将着重介绍一下在追踪这个恶意软件家族时所发现的一些技术细节,例如Wauchos是什么,以及它是如何传播的。

Wauchos主要用于窃取凭据、下载并安装额外的恶意软件到目标系统中。因此,感染了Wauchos的系统上,很可能还潜伏着一些其他的恶意软件家族。

Wauchos是一个模块化的恶意软件,可以很容易地通过添加插件的方式进行功能扩展。它常用的插件包括键盘记录器、表单抓取器、Rootkit、SOCKS代理和TeamViewer BOT程序。目前只有的有五个主要的Wauchos版本,分别为2.06、2.07、2.08、2.09和2.10。在前三个版本的样品中,Bot程序向C&C发送的第一个POST请求中会包含版本号的内容,因此很容易识别出来;之后的版本中,POST请求中删除了版本号相关的参数,但是通过查看发往C&C服务器的数据包信息,依然能够很容易的识别出来恶意程序的版本信息。

*注意切换到JSON格式

典型的POST请求如下图2所示,其中关键字符串经过了RC4加密,并使用了Base64编码。

图2:典型的POST请求(示例)

由于2.06版本的恶意样本在几年前就被泄露了,因此在僵尸网络中可以检测到相当多的这个版本的恶意程序。不过,根据ESET的爬虫数据显示,最新的2.10版本是最流行的版本。

Wauchos僵尸网络威胁覆盖到了全球多个地区,其中的一个指标是威胁行为者使用的C&C服务器的多样性。监测到的数据显示,每个月都会新增几十个Wauchos的C&C服务器。下图3显示了C&C服务器使用的不同TLDs的快照;下图4显示了这些C&C服务器IP的地理分布情况。

图3:C&C服务器使用不同TLDs的情况(2016年11月和12月的监测数据)

图4:C&C服务器IP的地理分布(2016年11月和12月的监测数据)

有趣的是,我们分析过许多样本对潜在感染目标的系统检测情况,发现一旦与下边的这几个地区的系统相匹配,恶意软件就会停止感染:

  • 俄罗斯
  • 乌克兰
  • 白俄罗斯
  • 哈萨克斯坦

感染向量

各种各样的网络犯罪分子会购买Wauchos恶意软件,然后再进行分发,因此这种威胁的传染途径也是多种多样的,已有的传播媒介包括社交媒体平台、即时通讯软件、移动媒体、分布式的垃圾邮件和漏洞利用工具包。

图5:垃圾电子邮件的附件是一个Wauchos恶意软件

付费安装恶意软件

前边提到过,犯罪分子主要使用Wauchos来分发其他的恶意软件家族。使用一个自动化的系统对Wauchos bot下载的数据进行跟踪,下图6显示了2016年12月份跟踪到的Wauchos bot第一次与C&C服务器连接时所下载的插件的统计数据。

图6:下载不同插件的统计数据(2016年12月)

通常都会先下载通一个插件,关于这一点我们下文会进行详细的阐述。在恶意软件安装方面,2016年12月份,我们检测到分发最广泛的恶意软件是Win32/Kasidet、Win32/Kelihos 和 Win32/Lethic。当然,由于Wauchos采取的是按需付费的安装方案,因此这些统计数据随时都会发生变化。不过我们的遥测数据显示,上述几种恶意软件是最常见的。

技术分析

这一部分,我们将透露一些尚没有公布出来的技术细节和联合行动的背景信息。尤其是将谈论两个插件,它们被用于向主控机器提供侧信道通信,能够增加僵尸网络的弹性,执行特别是,我们将讨论两个插件,可以为主控机提供侧信道通信,增加了僵尸网络弹性,防止被意外撤除。

Wauchos的变种

首先,先简单的介绍一下Wauchos这一恶意软件家族中的几个主要Wauchos变种的情况(使用ESET的命名规范)。

Wauchos 2.06版本的样本主要被识别为Win32 / Wauchos.B;而2.10版本则被识别为Win32 / Wauchos.AW。其他变种(包括2.07, 2.08 or 2.09版本的样本或相关的插件或其他版本等)都被归为Win32 / Wauchos家族,遥测数据显示,这些变种的分布并不广泛,因此本文对它们不过多讨论。

最新版本的Wauchos(2.10),BOT程序支持下列命令:

插件

Wauchos是一个可扩展的bot程序,操控者可以创建和使用自定义的插件。其中,有一些插件被广泛使用,在许多不同的僵尸网络中都有它们的踪迹。

当Wauchos bot程序下载了一个插件之后,必须先用RC4密钥解密它的头部。头部信息中包含了解密有效载荷所需的唯一密钥。一旦顺利完成解密的过程,最后一步是使用aPLib运行被解压的插件。完成此操作后,恶意软件将使用一个自定义的加载程序将它的二进制数据加载到内存中。由于二进制数据已经是内存对齐的,因此它们可以直接加载到内存中并被执行。

系统收集到的僵尸网络使用的不同的RC4密钥总数只有40个左右,这使得解密下载组件的操作变得容易,有时候甚至不需要分析样本。

C&C通信方面,分析的所有样本都直接使用谷歌的DNS基础设施来解析C&C的域名。2.06版本使用了原始的UDP套接字(8.8.4.4:53)来解析C&C服务器的IP地址。如果不能成功解析,它首先会回调DnsQueryA() Windows API,然后调用gethostbyname() API来完成解析。2.10版本使用了GetAddrInfoW()钩子,使用原始的UDP套接字(8.8.4.4:53)来解析,如果失败的话,会回调GetAddrInfoW() API。

新的持久化机制

在本节中,我们将介绍今年出现的两个插件,它们能够为主控机提供的侧信道通信,可以有效的阻止恶意程序被撤除的操作,进而达成持久化的目标。

第一个是一个USB spreader,第二个是一个downloader,它被存储在注册表中,启动时通过一个PowerShell脚本实现fileless攻击。

USB spreader–Win32 / Bundpil.CS

这个插件能够钩住一个DNS API函数,试图通过移动介质进行传播,使用DGA(域名生成算法)下载额外的数据。

这个插件会生成一个进程,专门用来扫描插入的可移动介质,一旦有所发现,就会向可移动介质上。这个插件的其他功能包括一个DNS API钩子,通过一个硬编码的信息替换一个特定的域名。例如某个样本会将所有的指向老的Wauchos域名的请求重定向到gvaq70s7he.ru,老的Wauchos域名包括:

  • designfuture.ru
  • disorderstatus.ru
  • atomictrivia.ru
  • differentia.ru

这个插件还有一个DGA组件,会尝试连接到自动生成的域名,便于将额外的数据下载到受感染的系统上。DGA算法的伪代码可以在GitHub上找到。URLs地址与下列模式相匹配:

  • <dga_domain>.ru/mod
  • <dga_domain>.ru/1
  • <dga_domain>.ru/2

Downloader

根据版本的不同,Downloader插件会使用一个DGA算法匹配不同的URLs地址,如下所示:

  • <dga_domain>.ru/ld.so
  • <dga_domain>.ru/last.so
  • <dga_domain>.ru/nonc.so

该插件用于下载存储在注册表中的二进制数据块。这个二进制数据块包含解密Wauchos有效载荷的RC4密钥。

这个插件会下载另外一个downloader,被识别为TrojanDownloader.Small.AHI。这一恶意软件的唯一的目的是下载downloader插件的更新版本,并加密存储在注册表中。它还会通过PowerShell脚本增加一个运行密钥,每次机器启动时,都会从注册表值中执行解密二进制文件的操作。这样一来,二进制文件就可以自我更新了。不过,该插件依然使用一个DGA算法作为次要的通信信道,用来下载新的有效载荷,如果有人试图接管受感染机器的话,可以借此恢复主控机器的控制权。下图7显示了Downloader插件的工作流程:

图7:Downloader插件的工作流程示意图

需要注意的是在,通过DGA和Downloader插件会下载Necurs.B恶意软件,不过根据我们的统计数据,更多的是会下载 Win32/TrojanDownloader.Small.AHI。有趣的是,2016年8月份,可以看到Win32/TrojanDownloader.Small.AHI的很多活动,但从那时起就没了踪迹。原因尚未确定,可能是我们的检测行为被对手察觉到了并加入了黑名单;也可能这个恶意软件变种只是一个短时间内活跃的测试版本。

结论

Wauchos僵尸网络已经存在很多年了,ESET跟踪到了与它有关的很多C&C基础设施的信息,这些数据为跟踪和分析Wauchos恶意软件的行为特征,以及帮助执法机构彻底取缔该大型犯罪网络提供了有力的支持。

Wauchos在感染目标时使用了一些老把戏,用户在打开可移动媒体上的文件时、通过电子邮件或社交媒体接收文件时都应当谨慎。

更多资料

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/108049.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code