欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kronos恶意软件研究(part 2)

来源:本站整理 作者:佚名 时间:2017-09-04 TAG: 我要投稿

在Kronos阐发的第一部分中,咱们阐发了Kronos恶意软件的装置进程,并具体说明了恶意软件为了坚持隐蔽性而应用的各类技能。如今咱们将继承对Kronos的歹意行动停止阐发。
阐发样本
ede01f7431543c1fef546f8e1d693a85-downloader(一个包括恶意代码的word文档)
2a550956263a22991c34f076f3160b49 -bot歹意法式
分外感激@shotgunner101和@chrisdoman分享恶意软件样本。
设置装备摆设和目的
Kronos是一款银行木马,其bot法式必要起首从C&C服务器上下载额定的设置装备摆设文件,并以加密的情势存储在装置文件夹中。经由进程阐发咱们发明,当经由进程收集发送该设置装备摆设文件时,它应用CBC情势的AES 加密算法对文件停止加密停止加密,然则当该设置装备摆设文件存储在磁盘上时,将应用ECB情势的AES加密算法停止加密。从下图咱们可以或许看到,Kronos歹意软件的装置目次是%APPDATA%/Microsoft,目次中的文件夹称号被用来表现BotId。并且,该文件夹中存储的文件,可执行文件和设置装备摆设文件都具备雷同的称号,只是扩大名分歧罢了:
 

咱们将捕获到设置装备摆设文件停止懂得密操纵,你可以或许在以下的github地点上找到该解密文件:
https://gist.github.com/malwarezone/d6de3d53395849123596f5d9e68fe3a3#file-config-txt
设置装备摆设文件的格局遵守了Zeus歹意软件中界说的尺度,歹意软件在该文件中指定了要在目的网站中注入的内部剧本和注入地位。下图是一个设置装备摆设文件的片断:
 

上述例子中注入的内部剧本是figrabber.js,该剧本被托管在进击者的服务器上:
 

该剧本以后的设置装备摆设重要用来对几家银行实行收集进击,不外该剧本还被用来盗取Google,Twitter和Facebook等网站的登录凭证。假如用户的机械上沾染了Kronos歹意软件,那末设置装备摆设文件中界说的代码片断会被植入到了合法网站的源代码中,一旦用户关上歹意软件所针对的目的网站,注入到合法网站上的剧本就会开端执行了,具体例子以下图所示:
Facebook的:
 

花旗银行:
 

注入的剧本卖力关上额定的窗口,该窗口正在测验考试诱骗用户并盗取他/她的小我数据:
 

富国银行:
 


图片中的表单是都是歹意软件自界说的,以顺应每一个页面的主题。然则,其内容对付每一个目的都是雷同的。总的来说,该歹意软件针对银行的进击操纵其实不十分复杂,轻微有些平安认识的用户都会对上述的进击行动发生狐疑,究竟该歹意软件试图压服用户输出与银行业务相干的一切小我数据:
 

Downloader
Kronos歹意软件除沾染浏览器和盗取数据外,它还具备下载功效。在咱们的测试中,它下载了一个新的可执行文件,并将其保存在%TEMP%目次中,歹意软件的有用载荷存储在与主装置目次雷同称号的其余目次中:
 

已下载的payload
6f7f79dd2a2bf58ba08d03c64ead5ced -nCBngA.exe
从Kronos C&C下载的payload:
 

下载的进程中发明payload未加密传输:
 

在上述案例中,下载的payload只是Kronos歹意软件bot组件的更新法式。然则,异样的功效也可用于获得和安排其余歹意软件系列。
敕令和节制(C&C)服务器
经由进程咱们的阐发发明,Kronos歹意软件在其C&C服务器上应用了Fast-Flux技巧,域名每次都被剖析成分歧的IP。比方,针对hjbkjbhkjhbkjhl.info这个域名,每次从上面给出的IP地点池中随机抉择一个作为域名的IP地点:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载