频道栏目
首页 > 安全 > 网络安全 > 正文

2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

2017-08-14 09:10:00           
收藏   我要投稿

Agent.BTZ也称作ComRAT,是全球范围内最古老的威胁之一,以2008年袭击美国五角大楼时间著称,技术层面来说,Agent.BTZ是一个由Turla组织开发维护的运用了Snake/Uroburos rootkit技术的用户模式RAT。在过去的几个月我们主导了针对Agent.BTZ代码库以及该病毒如何利用Intezer代码智能技术进行变异的研究,基于我们的研究成果,我们捕捉到了一批新病毒样本,还有超过70个之前未知的活跃IP和DNS地址,这些IP地址正在滥用在非洲和中东地区的卫星互联网服务。本文是我们过去几个月新研究成果的简短概述,后续还会发表文章详细描述我们利用自己的技术发现病毒新变种的过程并会对新病毒样本作完整分析。

Dropper

病毒代码本身并没有抄袭,它与WinRAR没有任何关系,它只是尝试模仿WinRAR的SFX安装器,复制了WinRAR的图标、布局等,如下图所示:

\

病毒执行时dropper会在主机重启后安装activeds.dll,这是一个直接加载到explorer.exe的代理动态链接库,该代理动态链接库用于加载病毒的核心payload stdole2.tlb,之后dropper会删除所有之前安装在受害者主机的Agent.BTZ,这通过以下硬编码文件路径来实现:

a)C:\Documents and Settings\\Application Data\\Microsoft\\Windows\\Themes\\termsvr32.dll

b)C:\Documents and Settings\\Application Data\\Microsoft\\Windows\\Themes\\pcasrc.tlb

注意:以上文件名首次使用是在2014年,详细可以参考automatic Dr.WEB report。

上述步骤完成后dropper会利用以下命令进行重命名并自我销毁:

C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\~1\APPLIC~1\MICROS~1\Windows\stdole2.tlb,UnInstall C:\~$.tmp”

a)69690f609140db503463daf6a3699f1bf3e2a5a6049cefe7e6437f762040e548

b)6798b3278ae926b0145ee342ee9840d0b2e6ba11ff995c2bc84d3c6eb3e55ff4

stdole2.tlb介绍:上文提过该文件是伪造的sfx dropper安装的病毒的主要组件,它通过activeds.dll加载,我们从每一个样本中提取了配置信息以获取c2地址和内部版本信息(PVer),这些信息存储在每一个Agent.BTZ样本中。以前Agent.BTZ病毒的开发者采用了一个增量值标识内置版本号,据2014年G-Data的报道[5],已知的最后一个值是3.26,看起来病毒开发者察觉到了该报道,从此停用了增量值。该病毒的新变种采用了不同以往的0.8/9.(随机值)数字化系统使得研究者更难定位到样本的版本号。

\

从样本提取到的配置信息--PVer 0.9.1528434231

即使没有PVer序列号,我们也能够利用自己的技术手段[6]获知这些新样本是来自于新版本,当然这些病毒样本是在Agent.BTZ最后已知的版本3.25/3.26版本基础上发展而来,以下是下图中前两个文件的md5:

1)4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356(VirusTotal)

2)3a6c1aa367476ea1a6809814cf534e094035f88ac5fb759398b783f3929a0db2(VirusTotal)

这些文件几乎都是在3年前上传到VT的!

\

来自Intezer代码智能工具[7]的图展示了我们数据库中的与新样本共享代码片段的系列文件,这些代码片段专门针对Turla组织的恶意软件家族,并没有在其他任何恶意或合法软件中出现过。

发现的样本

1)6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96

2)49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e

3)e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49

4)89db8a69ff030600f26d5c875785d20f15d45331d007733be9a2422261d16cea

IOC

sha256 69690f609140db503463daf6a3699f1bf3e2a5a6049cefe7e6437f762040e548 dropper

sha256 6798b3278ae926b0145ee342ee9840d0b2e6ba11ff995c2bc84d3c6eb3e55ff4 dropper

sha256 73db4295c5b29958c5d93c20be9482c1efffc89fc4e5c8ba59ac9425a4657a88 activeds.dll

sha256 50067ebcc2d2069b3613a20b81f9d61f2cd5be9c85533c4ea34edbefaeb8a15f activeds.dll

sha256 380b0353ba8cd33da8c5e5b95e3e032e83193019e73c71875b58ec1ed389bdac activeds.dll

sha256 9c163c3f2bd5c5181147c6f4cf2571160197de98f496d16b38c7dc46b5dc1426 activeds.dll

sha256 628d316a983383ed716e3f827720915683a8876b54677878a7d2db376d117a24 activeds.dll

sha256 f27e9bba6a2635731845b4334b807c0e4f57d3b790cecdc77d8fef50629f51a2 activeds.dll

sha256 a093fa22d7bc4ee99049a29b66a13d4bf4d1899ed4c7a8423fbb8c54f4230f3c activeds.dll

sha256 6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96 stdole2.tlb

sha256 49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e stdole2.tlb

sha256 e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49 stdole2.tlb

sha256 89db8a69ff030600f26d5c875785d20f15d45331d007733be9a2422261d16cea stdole2.tlb

ip 81.199.34[.]150

dns elephant.zzux[.]com

dns angrybear.ignorelist[.]com

dns bigalert.mefound[.]com

dns bughouse.yourtrap[.]com

dns getfreetools.strangled[.]net

dns news100top.diskstation[.]org

dns pro100sport.mein-vigor[.]de

dns redneck.yourtrap[.]com

dns savage.2waky[.]com

dns tehnologtrade.4irc[.]com

ip 81.199.160[.]11

dns forums.chatnook[.]com

dns goodengine.darktech[.]org

dns locker.strangled[.]net

dns simple-house.zzux[.]com

dns specialcar.mooo[.]com

dns sunseed.strangled[.]net

dns whitelibrary.4irc[.]com

dns bloodpearl.strangled[.]net

dns getlucky.ignorelist[.]com

dns proriot.zzux[.]com

dns fourapi.mooo[.]com

dns nopasaran.strangled[.]net

ip 78.138.25[.]29

dns showme.twilightparadox[.]com

dns mouses.strangled[.]net

ip 82.146.175[.]69

dns mouses.strangled[.]net

ip 178.219.68[.]242

dns ftp.fueldust.compress[.]to

dns ftp.linear.wikaba[.]com

dns ftp.mysterysoft.epac[.]to

dns ftp.scroller.longmusic[.]com

dns ftp.spartano.mefound[.]com

dns fueldust.compress[.]to

dns linear.wikaba[.]com

dns mysterysoft.epac.to

dns safety.deaftone[.]com

dns salary.flnet[.]org

dns scroller.longmusic[.]com

dns spartano.mefound[.]com

ip 88.83.25[.]122

dns robot.wikaba[.]com

ip 41.223.91[.]217

dns smileman.compress[.]to

dns decent.ignorelist[.]com

dns dekka.biz[.]tm

dns disol.strangled[.]net

dns eraser.2waky[.]com

dns filelord.epac[.]to

dns justsoft.epac[.]to

dns smuggler.zzux[.]com

dns sport-journal.twilightparadox[.]com

dns sportinfo.yourtrap[.]com

dns stager.ignorelist[.]com

dns tankos.wikaba[.]com

dns grandfathers.mooo[.]com

dns homeric.mooo[.]com

dns jamming.mooo[.]com

dns pneumo.mooo[.]com

dns razory.mooo[.]com

dns anger.scieron[.]com

dns gantama.mefound[.]com

dns letgetbad.epac[.]to

dns rowstate.epac[.]to

dns memento.info[.]tm

ip 196.43.240[.]177

dns bughouse.yourtrap[.]com

dns news100top.diskstation[.]org

ip 169.255.102[.]240

dns harm17.zzux[.]com

dns mountain8.wikaba[.]com

sha256 0e0045d2c4bfff4345d460957a543e2e7f1638de745644f6bf58555c1d287286 other

sha256 bdcc7e900f10986cdb6dc7762de35b4f07f2ee153a341bef843b866e999d73a3 other

sha256 fac13f08afe2745fc441ada37120cebce0e0aa16d03a03e9cda3ec9384dd40f2 backdoor

sha256 bae62f7f96c4cc300ec685f42eb451388cf50a13aa624b3f2a019d071fddaeb1 other

上一篇:不为人知的地下暗流:揭秘色情推广“影科技”家族背后的流量生意
下一篇:史上反侦察力最强木马“隐魂”:撑起色情播放器百万推广陷阱
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站