CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络,该恶意软件由Downloader和真正的Bot两部分组成,通过一些规避技术躲避检测分析,隐藏自己的恶意行为。
一、概述
在调查暗网恶意代码时,ZLab研究员发现了“NetflixAccountGenerator.exe”,这个标榜可以免费创建一个Netflix服务的高级账户,但下载安装之后它并没有这样做,而是安装了一个BOT。
恶意软件的研究人员分析这个exe文件,了解到该威胁程序首次上传在9月20 日,可能是该程序编写者为了测试它的隐藏能力。该恶意程序为一个活僵尸网络,研究人员称之为Wonder botnet ,其命令和控制服务隐藏在一个网站后面,这个网站为另一个网站的镜像。
图1 左图为虚假页面,右图为原始页面
研究人员证实虚假的页面上“support.com”的链接为“wiknet.wikaba.com”,指向僵尸网络C2C的前端,有趣的是它的每一个链接都指向原始页面,研究人员点击一个链接后,被重定向到“support.com”上相应的页面。研究人员还发现了一些隐藏路径,其中包含bots使用的信息和命令。
二、组成情况
该恶意软件由两部分组成:
(1) Downloader:
一个仅用于下载和执行真正bot代码的.Net执行文件,并上传“pastebin.com/raw/E8ye2hvM”。
文件名称:wonder.exe
| 名称 | 详细信息 |
|---|---|
| MD5 | 486954967e02a2e1577bd7dd91026102 |
| SHA-1 | 27b2fc98c91dddf002cda77da3f44cf9a05d7fba |
| SHA-256 | c3f5f5bfe39b55ffe0343950e0a4bf0433c35679a01daf07ce6c0ccc7d4da9b7 |
| 文件大小 | 365 KB |
表1 Wonder下载者的属性信息
下载者的组成文件信息:
(2) 真正的Bot:
当它被下载执行后,会感染宿主,设置其持久性机制,并按照图中的流程开始其恶意行为。
Payload/Bot文件名称:Payload.exe
| 名称 | 详细信息 |
|---|---|
| MD5 | 84fdcb1f23f592543381c85527c19aaa |
| SHA-1 | cc2f96a2f4dbc4b0176bab37c22a48ebfe1bac06 |
| SHA-256 | 15d390626fea8d06adc261e0588ec40d17b6a62a2320313073ba94809c5e0f4d |
| 文件大小 | 205 KB |
表2 Wonder Bot的属性信息
Wonder Bot的组成文件信息:
通过使用一些静态分析工具,如PEiD,了解该恶意程序是基于.NET Framework,使用C#编写的。
三、行为分析
整个感染过程从Wonder.exe文件执行成功后开始,它是有效负载的下载器,它会尝试连接“pastebin.com”来检索已编码的有效负载,如果机器未联网, Wonder.exe就会出现崩溃,如下图。
图2 Wonder.exe崩溃
网络连接正常的情况下,这个下载者会尝试访问https://pastebin.com/raw/E8ye2hvM 来执行 Bot 负载。负载开始后会首先尝试解析域“wiknet.mooo.com”,由于该域名未注册,在失败后再成功解析域“wiknet.wikaba.com ”到 IP “104.200.67.190”,研究人员分析该IP指向 C2C ,访问这个网站出现上面图1中的虚假“ support.com”页面。
图3 DNS请求分析
通过对其行为的分析发现存在以下可疑活动:
(1) 如上图中所示的DNS请求。
(2) 在“AppData/Local/ Temp”路径中创建一个文件,可能用于支持bot操作。
(3) 持久性机制,添加自身链接到“C:/ProgramData/Microsoft/Windows/StartMenu/Programs/ Startup”。
Bot和C2C之间的所有通信都在TLSv1层上,所以无法看到。
四、深度分析
(1) 规避行为
和其它的恶意软件一样,该恶意软件也使用一些规避技术来躲避检测和分析,它通过查找一些虚拟库,来隐藏自己的恶意行为,如下图。
图4 Wonder Bot的规避行为分析
(2) 行为流程
Wonder恶意软件控制流程如下图所示:
图5 Wonder Bot的行为流程图
由于它的bot性质,一旦安装在受害者机器上,就必须创建一个ID来标识自己进入僵尸网络,该ID 使用MD5算法加密,并向它添加一个静态字符串。
图6 Bot ID创建
(3) 命令列表
通过进一步分析,得到Bot接收C2C的一些命令,如下表所示:
| 命令名称 | 命令描述 |
|---|---|
| KEYWORD | Add all files contained in a specific folder into a rar archive |
| KEY | C彩色文字reate a file “ky” in the path. This file is a trigger to upload all info gathered to the C2C at the path “/log.php” |
| KEYS | Delete the “ky” file |
| REUPLOAD | Contact the C2C at the path “/FeedBack.php” |
| RESTARTME | Restart the bot |
| BLOCK | Create the kill switch and stop the bot |
| SCREEN | Take a screenshot |
| LAN | Create a file “LA” in the path. This file is a trigger to a feature not implemented yet. |
| LANS | Delete the “LA” file |
| USB | Create a file “us”+BOT_ID in the path. This file is a trigger to infect Removable Devices. |
| USBS | Delete the “us”+BOT_ID file |
| HD | Create a file “hd”+BOT_ID in the path. This file is a trigger to infect Hard Drives. |
| HDS | Delete the “hd”+BOT_ID file |
| SHUTDOWN | Shutdown the system |
| RESTART | Reboot the system |
| PROCANDSOFT | List all active processes and all installed softwares |
| DEL-TEMP | Delete all files in “AppData/Local/Temp” path |
| RAR | Create a RAR archive adding to it all the information gathered. The archive is sent to the C2C. |
| RARM | Create a RAR archive adding to it all the information gathered in that month. The archive is sent to the C2C. |
| RARW | Create a RAR archive adding to it all the information gathered in that week. The archive is sent to the C2C. |
| KILL | Kill a specific process |
表3 Wonder Bot 的命令列表
C2C通过“BLOCK”命令结束恶意软件,这个命令会在“AppData/Local/Temp”路径下创建一个新文件(“ Block~” +BOT_ID),该文件也可用于避免感染。关于该恶意软件的YaraRules及详细分析可查看ZLab的分析报告,下载链接为:
http://csecybsec.com/download/zlab/Wonder_botnet_ZLab_report.pdf
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/54726.html