IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

来自SambaCry创作者的又一杰作:CowerSnail木马分析

发布时间:2017-08-18 13:47文章来源:互联网文章作者: 佚名点击次数:
在之前的文章中,我们详细分析了SambaCry这款Linux木马软件,该恶意程序的实现原理是利用了Samba协议的远程代码执行漏洞(CVE-2017-7494)。 在一个星期之后,卡巴斯基实验室的恶意软件分析师又检测到一个新的Windows恶意软件程序,通过分析研究发现,新发现的

在之前的文章中,我们详细分析了SambaCry这款Linux木马软件,该恶意程序的实现原理是利用了Samba协议的远程代码执行漏洞(CVE-2017-7494)。 在一个星期之后,卡巴斯基实验室的恶意软件分析师又检测到一个新的Windows恶意软件程序,通过分析研究发现,新发现的这款恶意软件竟和SambaCry是由同一个组织创建的,因为这两个程序使用的常用C&C服务器都是cl.ezreal.space:20480。

卡巴斯基实验室的分析师们将这款新检测到的恶意程序命名为Backdoor.Win32.CowerSnail,该恶意软件的MD5值如下所示:

5460AC43725997798BAB3EB6474D391F

CowerSnail 木马程序的设计是基于跨平台开发框架 Qt 编写的,这样做的好处是允许攻击者将 Unix 平台开发的恶意代码快速迁移至 Windows 平台环境中。另外,该框架还提供了不同操作系统之间的跨平台功能与源代码转移,从而使平台传输代码变得更加容易。然而,在便捷传输的同时也增加了生成文件大小,导致用户代码仅占 3MB 文件的很小比例。

下面,我们将给出关于CowerSnail 这款木马程序的详细分析。

第一阶段

首先,CowerSnail木马软件会首先去提高自身进程的优先级和当前线程的优先级,如下图所示:

\

然后,它使用StartServiceCtrlDispatcher 这个API函数作为控制管理服务来启动主要的C&C通信线程。

\

那么,如果C&C通信线程作为服务被成功启动,则木马软件将通过该服务与C&C服务器进行进一步的通信; 否则,CowerSnail木马软件则不会开始运行。 CowerSnail这款软件在实现上也可以接受各种输入的参数变量,例如C&C主机。 当这些参数不存在时,CowerSnail会从配置文件中提取所需的这些参数数据。

通过控制管理服务程序来启动调用主要的C&C通信方法在实现上将如下图所示(该方法通常被称为“例程”)。

\

C&C通信服务器

通过我们对流量的研究和分析,实验表明僵尸网络中的节点都是通过IRC协议与C&C服务器进行通信的。 这可以从“通道”命令特征以及随后所进行的ping交换数据中看出,这些通常发生在由IoT设备组成的IRC僵尸网络中。

\

从下图中我们可以看到,在每个数据包中(除了“通道”命令之外)的前两个字节数据都是“PK”这个特征,紧跟在“PK”这个特征后面的双字节表示数据包中剩余数据的长度信息。

\

数据包中每个字段的名称都是用Unicode进行编码的,并且每个字段的前面一般都是字段的长度信息。从图中我们可以看到,状态栏字段后面的RequestReturn/Request这个双字节的字段显示的是变量RequestReturn所需的变量个数。在图中的这个例子中,我们可以看到RequestReturn字段所需的有三个变量,分别是'success','I'和'result'这三个变量,这些字段中的每一个字段又可以包含更多的嵌套变量。从下面的屏幕截图中我们可以看到数据包中包含了对SysInfo这个命令请求的响应数据,从图中我们可以看到,CowerSnail木马软件从受感染的电脑终端中获取到14(0xE)个有关SysInfo系统信息的子字段数据信息,依次为字段的名称、类型以及字段的值。
来自SambaCry创作者的又一杰作:CowerSnail木马分析
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/1050876.html

标签分类:

上一篇:上一篇:谍影重重:中国DDoS产业现状大揭秘
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量