Nitol僵尸網(wǎng)絡(luò)家族變種借“快猴網(wǎng)”套肉雞

責(zé)任編輯:editor004

2017-11-13 11:20:37

摘自:黑客與極客

2 另外Nitol病毒一旦有機(jī)會(huì)執(zhí)行還會(huì)通過(guò)弱密碼掃描,進(jìn)而利用ipc$和默認(rèn)共享入侵遠(yuǎn)程電腦。4) 緊接著完成IPC$共享感染后,病毒程序就會(huì)創(chuàng)建線程,連接C2服務(wù)器,接受并執(zhí)行來(lái)自于C2服務(wù)器的指令。

01 概況

騰訊安全反病毒實(shí)驗(yàn)室發(fā)現(xiàn)一個(gè)名叫快猴網(wǎng)(www.kuaihou.com)的下載站通過(guò)在一些游戲輔助工具包里置入lpk病毒,坐等“肉雞”入坑。

在裸機(jī)環(huán)境下,受害者在快猴下載站主動(dòng)下載并運(yùn)行自己需要的游戲輔助工具,然而受害者并不會(huì)注意到其輔助工具解包后的目錄下隱藏著惡意文件lpk.dll,一旦同目錄下的輔助工具運(yùn)行,lpk.dlll就會(huì)被加載執(zhí)行,繼而lpk.dll會(huì)備份自身到受害者計(jì)算機(jī)磁盤的各個(gè)文件夾下,以爭(zhēng)取自身更多的加載執(zhí)行機(jī)會(huì)、更長(zhǎng)的生命周期、更深的隱藏和潛伏,同時(shí)lpk.dll會(huì)釋放一個(gè)隨機(jī)名的EXE病毒,這個(gè)EXE病毒會(huì)連接&接受C2服務(wù)器的指令并發(fā)起DDOS攻擊,電腦設(shè)備完全淪為Nitol的“肉雞”。

眾所周知 Nitol源碼公開之后,各種不同協(xié)議的Nitol版本病毒衍生而出。目前Nitol家族仍然是盤踞在Windows環(huán)境下Botnet的“活躍分子”。Nitol的顯著特點(diǎn)就是使用了lpk.dll劫持,通過(guò)lpk.dll劫持實(shí)現(xiàn)病毒樣本在受害者電腦磁盤上進(jìn)行橫向復(fù)制感染,會(huì)向包括U盤等可移動(dòng)磁盤、本地磁盤的一些文件夾下復(fù)制備份lpk.dll,以達(dá)到這些劫持攻擊的目的。

2012年在一項(xiàng)代號(hào)b70的行動(dòng)中,微軟發(fā)現(xiàn),中國(guó)某些零售商在出售電腦時(shí),會(huì)在Windows系統(tǒng)中裝惡意軟件。在整個(gè)銷售過(guò)程中,為電腦安裝惡意軟件可能跟任意一個(gè)銷售環(huán)節(jié)都有關(guān)系,從出廠到運(yùn)輸,到出售。其中在一項(xiàng)針對(duì)Nitol僵尸網(wǎng)絡(luò)的研究中,微軟的專家在中國(guó)的不同城市購(gòu)買了一些電腦,發(fā)現(xiàn)約有20%都在出廠時(shí)感染了惡意軟件。當(dāng)時(shí)Nitol的許多C2都指向了 3322.org這個(gè)域名,為阻止了Nitol僵尸網(wǎng)絡(luò)的蔓延,微軟接管了3322.org域名的請(qǐng)求,通過(guò)DNS重定向阻止了370萬(wàn)惡意軟件向此網(wǎng)站的連接。

2017年4月包含了永恒之藍(lán)(”EternalBlue”)MS-010漏洞的NSA武器庫(kù)被匿名黑客公布,除了臭名昭著的”EternalBlue”+WannaCry勒索病毒之外,”EternalBlue”+Nitol病毒也狼狽為奸,快速傳播。在騰訊電腦管家等國(guó)內(nèi)安全軟件的強(qiáng)力防護(hù)下,”EternalBlue”的威力不再,利用其他方式傳播的Nitol病毒浮現(xiàn)視野,“快猴網(wǎng)”投毒軟件包,該種水坑攻擊方式的出現(xiàn)并不意外。

02 傳播方式

“快猴網(wǎng)”游戲相關(guān)版塊下的大量軟件包被投毒,這些軟件包被了置入lpk.dll惡意文件。從文件的置入時(shí)間判斷,至少在2017年2月起就有少量的游戲包開始被投毒lpk.dll,大量的游戲包在10.11日14:52分被投毒或者再次投毒。

image001.jpg

image002.jpg

從外圍信息來(lái)看,快猴網(wǎng)平均每天有10W+的用戶訪問(wèn),通過(guò)QQ群搜索“kuaihou”,可以發(fā)現(xiàn)有大量的游戲愛(ài)好者組建的相關(guān)游戲QQ群,群公告里均能看到“快猴網(wǎng)”的鏈接地址,不難理解“快猴網(wǎng)”在一些游戲愛(ài)好者中的“口碑地位”,也正是這些游戲愛(ài)好者會(huì)通過(guò)“快猴網(wǎng)”下載一些游戲或輔助工具。

image003.jpg

image004.png

  一旦有受害者感染Nitol病毒,病毒還會(huì)嘗試進(jìn)行橫向傳播。

1. lpk.dll會(huì)備份感染至受害者磁盤的可能存在可執(zhí)行程序的文件夾,以保證其能夠更好啟動(dòng)執(zhí)行; 此時(shí)如果受害者計(jì)算機(jī)連接了U盤、移動(dòng)硬盤等可移動(dòng)媒介,lpk.dll還會(huì)嘗試備份感染至這些可移動(dòng)媒介。

2. 另外Nitol病毒一旦有機(jī)會(huì)執(zhí)行還會(huì)通過(guò)弱密碼掃描,進(jìn)而利用ipc$和默認(rèn)共享入侵遠(yuǎn)程電腦。

03 樣本分析

1. lpk.dll

與其他Nitol木馬生成器產(chǎn)生的lpk.dll一樣,作為加載器lpk.dll將Nitol病毒程序放置在ID為102的RCData資源中,一旦lpk.dll有機(jī)會(huì)執(zhí)行,除了進(jìn)行備份感染傳播外,重要的是lpk.dll會(huì)將釋放ID為102位置的Nitol病毒程序并啟動(dòng)執(zhí)行。

image005.jpg

  2. Nitol病毒程序

樣本加了upx壓縮殼,,加殼后文件只有20KB 。

Nitol病毒接受并執(zhí)行C2服務(wù)器發(fā)來(lái)的指令, 可下載、更新、刪除病毒木馬、通過(guò)執(zhí)行Cmd命令打開IE瀏覽器彈出網(wǎng)頁(yè),另外還可以通過(guò)C2遠(yuǎn)程指令進(jìn)行syn flood、tcp flood、http flood三大DDOS攻擊向量。同時(shí)Nitol可以通過(guò)IPC$共享進(jìn)行橫向傳播。

1) 新感染Nitol的機(jī)器會(huì)檢測(cè)自身是否運(yùn)行在windows目錄下,如果不在,則拷貝自身到系統(tǒng)目錄,文件名為6個(gè)隨機(jī)小寫字符:

image006.jpg

2) Nitol拷貝到windows目錄后,會(huì)通過(guò)創(chuàng)建一個(gè)名為“Mnopqr Tuvwxyab fafffs“的服務(wù)實(shí)現(xiàn)自啟動(dòng)。

3) Nitol病毒通過(guò)弱口令字典嘗試訪問(wèn)IPC$共享,以達(dá)到感染內(nèi)網(wǎng)的目的。

image009.jpg

4) 緊接著完成IPC$共享感染后,病毒程序就會(huì)創(chuàng)建線程,連接C2服務(wù)器,接受并執(zhí)行來(lái)自于C2服務(wù)器的指令。

a) C2地址以密文形式存在于文件中,加密算法為base64+凱撒移位+異或

b) 病毒會(huì)根據(jù)C2服務(wù)器的指令進(jìn)行任意文件的下載更新、彈出IE網(wǎng)頁(yè),以對(duì)目標(biāo)系統(tǒng)進(jìn)行如下類型的DDOS攻擊:

i. SYN Flood

ii. TCP Flood

iii. HTTP Flood

c) 遠(yuǎn)程指令如下:

3. IOCs

1) “快猴網(wǎng)”部分被投毒的軟件包。

image012.png

  2) C2服務(wù)器

a) “快猴網(wǎng)“Nitol僵尸網(wǎng)絡(luò)的C2。

b) 其他部分Nitol僵尸網(wǎng)絡(luò)C2地址(f3322是目前主要的C2服務(wù)器,域名與之前的3322域名有不可描述的相似性)。

image014.png

  3) 快猴DDOS攻擊情況

image015.png

  4) Nitol病毒感染分布

image016.png

  04 安全建議

對(duì)于此類病毒從源頭傳播到橫向傳播,電腦管家均可以進(jìn)行有效的防御和查殺,建議廣大網(wǎng)友保持良好的上網(wǎng)習(xí)慣,保持電腦管家的正常開啟,不要因?yàn)槭褂猛鈷?、輔助類工具而輕易關(guān)閉或退出電腦管家,使用移動(dòng)媒介在他人設(shè)備拷貝文件時(shí)注意電腦管家U盤防護(hù)的提醒建議。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)