猫头鹰
信安舆情早知道

一款新型的僵尸网络:Proteus

介绍

Fortinet的ART团队发现了一个名为Proteus的新型恶意软件,它是一个用.NET编写的,包含代理、硬币挖掘机、电子商务商家帐户检查器和键盘记录器等多功能僵尸网络。 这个特定的僵尸网络软件由Andromeda僵尸网络下载。 新的恶意软件密集包装的少数恶意功能,包括删除其它恶意软件的能力。 我们在本简要分析中汇总了其主要特征。

数据加密

所有C&C通信使用对称算法加密。 在这个僵尸网络中使用的所有字符串也使用相同的算法加密。 加密的主机名字符串的一部分如下所示:

hex-1

图1-加密的主机名

加密的主机名为: http://prot{removed}twork.ml/,用作C&C域名。

下面提供了一个简单的解密算法:

hex-2

图2-解密算法

准备阶段

样本进行了模糊处理,将自身的复制备份放在%AppData%文件夹中作为chrome.exe,并执行备份本。 然后它创建一个硬编码互斥体,以确保只有一个自身运行的实例。

hex-3

图3 -Mutex名称

为了在C&C服务器登记僵尸网络,僵尸软件发送几条初始化注册信息到C&C服务器告知感染成功。 发送成功感染数据包格式如下:

{"m":"<Encrypted MachineName>", "o":"<Encrypted OperationSystem>", "v":"<Encrypted BotVersion>"}

hex-4

图4- 僵尸软件注册功能

指纹信息包括受感染机器的处理器,BIOS和基板信息,如下所示:

hex-5

图5-生成指纹

如下所示,这款僵尸软件有一个默认的硬编码指纹。 然而,默认额指纹视乎总是被上述新生成的指纹覆盖,它是受感染机器的唯一标识符。 该指纹包含在授权字段中的HTTP头中。

hex-6

图6-默认指纹

僵尸软件通过调用Win32 API 的GetComputerName 接口获取受感染的机器名,运行的操作系统是基于x64/x86架构的。僵尸软件版本号根据代码执行程序集版本号来定

hex-7

图7-僵尸软件版本号

C&C服务器使用加密的“successful.”字符串做响应,然后,僵尸软件对C&C服务器进行ping测试,确保服务器在线后执行其它恶意操作。

hex-8

图8-ping 指令代码

任务和功能

Proteus为不同任务创建了六个线程,如下所示:

Task Description
SocksTask 创建套接字并设置端口转发
MiningTask 使用SHA256矿工开采数字货币*
EMiningTask 使用CPUMiner和ZCashMiner挖掘数字货币*
CheckerTask 验证给定的帐户
CommandsTask 杀死当前进程,下载可执行文件并根据请求执行
LoggerTask 设置键盘记录

表1-任务和说明

*僵尸软件在运行时验证与服务器,以确定哪个矿工用于挖掘数字货币,如比特币。

hex-9

图9-检查MiningTask模块

hex-10

图10-检查EMiningTask的模块

对于SocksTask,MiningTask,EMiningTask和LoggerTask,僵尸软件首先通过向C&C服务器提供其程序指纹和相应的模块名称来发送CheckModule消息。 服务器然后向僵尸软件发送一个命令,指示机器人是否应该继续所请求的任务。

对于CheckerTask,僵尸软件首先从C&C服务器请求一个帐户。 如果服务器回复,则僵尸软件将继续检查包括eBay,Amazon和Netflix的一些众所周知的电子商务网站上的帐户。 类似地,对于CommandsTask,僵尸软件首先从服务器请求一个命令,然后在命令有效的情况下执行该命令。

总结

Proteus僵尸网络具有包括电子货币挖掘,代理服务器,键盘记录器等在内的多中功能组合,它也能够下载和执行文件。 该僵尸网络存在的危害甚至超出了人们得想象,因为它可以下载任何恶意程序并在受感染的主机中执行。 我们的团队将继续监控该僵尸网络系列,并提供更多的信息。

样本信息

MD5:49fd4020bf4d7bd23956ea892e6860e9

SHA256:d23b4a30f6b1f083ce86ef9d8ff434056865f6973f12cb075647d013906f51a2

Fortinet 反病毒检测签名:MSIL/Proteus.A!tr

 

【来源:blog.fortinet.com  mottion小编翻译发布】

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 一款新型的僵尸网络:Proteus

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们