Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

0
0
【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

2017-08-11 11:00:34

阅读:839次
点赞(0)
收藏
来源: intezer.com





【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

作者:an0nym0u5





【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

译者:an0nym0u5

预估稿费:80RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


前言

Agent.BTZ也称作ComRAT,是全球范围内最古老的威胁之一,以2008年袭击美国五角大楼时间著称,技术层面来说,Agent.BTZ是一个由Turla组织开发维护的运用了Snake/Uroburos rootkit技术的用户模式RAT。在过去的几个月我们主导了针对Agent.BTZ代码库以及该病毒如何利用Intezer代码智能技术进行变异的研究,基于我们的研究成果,我们捕捉到了一批新病毒样本,还有超过70个之前未知的活跃IP和DNS地址,这些IP地址正在滥用在非洲和中东地区的卫星互联网服务。本文是我们过去几个月新研究成果的简短概述,后续还会发表文章详细描述我们利用自己的技术发现病毒新变种的过程并会对新病毒样本作完整分析。


Dropper

病毒代码本身并没有抄袭,它与WinRAR没有任何关系,它只是尝试模仿WinRAR的SFX安装器,复制了WinRAR的图标、布局等,如下图所示:


【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

病毒执行时dropper会在主机重启后安装activeds.dll,这是一个直接加载到explorer.exe的代理动态链接库,该代理动态链接库用于加载病毒的核心payload stdole2.tlb,之后dropper会删除所有之前安装在受害者主机的Agent.BTZ,这通过以下硬编码文件路径来实现:

a)C:\Documents and Settings\<USER>\Application Data\\Microsoft\\windows\\Themes\\termsvr32.dll

b)C:\Documents and Settings\<USER>\Application Data\\Microsoft\\Windows\\Themes\\pcasrc.tlb

注意:以上文件名首次使用是在2014年,详细可以参考automatic Dr.WEB report。

上述步骤完成后dropper会利用以下命令进行重命名并自我销毁:

C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\<USER>~1\APPLIC~1\MICROS~1\Windows\stdole2.tlb,UnInstall C:\~$.tmp”

a)69690f609140db503463daf6a3699f1bf3e2a5a6049cefe7e6437f762040e548

b)6798b3278ae926b0145ee342ee9840d0b2e6ba11ff995c2bc84d3c6eb3e55ff4

stdole2.tlb介绍:上文提过该文件是伪造的sfx dropper安装的病毒的主要组件,它通过activeds.dll加载,我们从每一个样本中提取了配置信息以获取c2地址和内部版本信息(PVer),这些信息存储在每一个Agent.BTZ样本中。以前Agent.BTZ病毒的开发者采用了一个增量值标识内置版本号,据2014年G-Data的报道[5],已知的最后一个值是3.26,看起来病毒开发者察觉到了该报道,从此停用了增量值。该病毒的新变种采用了不同以往的0.8/9.<RANDOM_VALUE>(随机值)数字化系统使得研究者更难定位到样本的版本号。
【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

从样本提取到的配置信息--PVer 0.9.1528434231

即使没有PVer序列号,我们也能够利用自己的技术手段[6]获知这些新样本是来自于新版本,当然这些病毒样本是在Agent.BTZ最后已知的版本3.25/3.26版本基础上发展而来,以下是下图中前两个文件的md5:

1)4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356(VirusTotal)

2)3a6c1aa367476ea1a6809814cf534e094035f88ac5fb759398b783f3929a0db2(VirusTotal)

这些文件几乎都是在3年前上传到VT的!


【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)
来自Intezer代码智能工具[7]的图展示了我们数据库中的与新样本共享代码片段的系列文件,这些代码片段专门针对Turla组织的恶意软件家族,并没有在其他任何恶意或合法软件中出现过。

发现的样本

1)6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96

2)49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e

3)e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49

4)89db8a69ff030600f26d5c875785d20f15d45331d007733be9a2422261d16cea


IOC

sha25669690f609140db503463daf6a3699f1bf3e2a5a6049cefe7e6437f762040e548dropper sha2566798b3278ae926b0145ee342ee9840d0b2e6ba11ff995c2bc84d3c6eb3e55ff4dropper sha25673db4295c5b29958c5d93c20be9482c1efffc89fc4e5c8ba59ac9425a4657a88activeds.dll sha25650067ebcc2d2069b3613a20b81f9d61f2cd5be9c85533c4ea34edbefaeb8a15factiveds.dll sha256380b0353ba8cd33da8c5e5b95e3e032e83193019e73c71875b58ec1ed389bdacactiveds.dll sha2569c163c3f2bd5c5181147c6f4cf2571160197de98f496d16b38c7dc46b5dc1426activeds.dll sha256628d316a983383ed716e3f827720915683a8876b54677878a7d2db376d117a24activeds.dll sha256f27e9bba6a2635731845b4334b807c0e4f57d3b790cecdc77d8fef50629f51a2activeds.dll sha256a093fa22d7bc4ee99049a29b66a13d4bf4d1899ed4c7a8423fbb8c54f4230f3cactiveds.dll sha2566ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96stdole2.tlb sha25649c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24estdole2.tlb sha256e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49stdole2.tlb sha25689db8a69ff030600f26d5c875785d20f15d45331d007733be9a2422261d16ceastdole2.tlb ip81.199.34[.]150 dnselephant.zzux[.]com dnsangrybear.ignorelist[.]com dnsbigalert.mefound[.]com dnsbughouse.yourtrap[.]com dnsgetfreetools.strangled[.]net dnsnews100top.diskstation[.]org dnspro100sport.mein-vigor[.]de dnsredneck.yourtrap[.]com dnssavage.2waky[.]com dnstehnologtrade.4irc[.]com ip81.199.160[.]11 dnsforums.chatnook[.]com dnsgoodengine.darktech[.]org dnslocker.strangled[.]net dnssimple-house.zzux[.]com dnsspecialcar.mooo[.]com dnssunseed.strangled[.]net dnswhitelibrary.4irc[.]com dnsbloodpearl.strangled[.]net dnsgetlucky.ignorelist[.]com dnsproriot.zzux[.]com dnsfourapi.mooo[.]com dnsnopasaran.strangled[.]net ip78.138.25[.]29 dnsshowme.twilightparadox[.]com dnsmouses.strangled[.]net ip82.146.175[.]69 dnsmouses.strangled[.]net ip178.219.68[.]242 dnsftp.fueldust.compress[.]to dnsftp.linear.wikaba[.]com dnsftp.mysterysoft.epac[.]to dnsftp.scroller.longmusic[.]com dnsftp.spartano.mefound[.]com dnsfueldust.compress[.]to dnslinear.wikaba[.]com dnsmysterysoft.epac.to dnssafety.deaftone[.]com dnssalary.flnet[.]org dnsscroller.longmusic[.]com dnsspartano.mefound[.]com ip88.83.25[.]122 dnsrobot.wikaba[.]com ip41.223.91[.]217 dnssmileman.compress[.]to dnsdecent.ignorelist[.]com dnsdekka.biz[.]tm dnsdisol.strangled[.]net dnseraser.2waky[.]com dnsfilelord.epac[.]to dnsjustsoft.epac[.]to dnssmuggler.zzux[.]com dnssport-journal.twilightparadox[.]com dnssportinfo.yourtrap[.]com dnsstager.ignorelist[.]com dnstankos.wikaba[.]com dnsgrandfathers.mooo[.]com dnshomeric.mooo[.]com dnsjamming.mooo[.]com dnspneumo.mooo[.]com dnsrazory.mooo[.]com dnsanger.scieron[.]com dnsgantama.mefound[.]com dnsletgetbad.epac[.]to dnsrowstate.epac[.]to dnsmemento.info[.]tm ip196.43.240[.]177 dnsbughouse.yourtrap[.]com dnsnews100top.diskstation[.]org ip169.255.102[.]240 dnsharm17.zzux[.]com dnsmountain8.wikaba[.]com sha2560e0045d2c4bfff4345d460957a543e2e7f1638de745644f6bf58555c1d287286other sha256bdcc7e900f10986cdb6dc7762de35b4f07f2ee153a341bef843b866e999d73a3other sha256fac13f08afe2745fc441ada37120cebce0e0aa16d03a03e9cda3ec9384dd40f2backdoor sha256bae62f7f96c4cc300ec685f42eb451388cf50a13aa624b3f2a019d071fddaeb1other


【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)
【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://www.intezer.com/new-variants-of-agent-btz-comrat-found/

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images