一款新的基于Tor的恶意软件 – ChewBacca

与金融木马有关的网络犯罪近几个月日益攀升。而基于Tor的木马仍是网络罪犯们的最爱,这种木马能够隐藏他们的肉鸡,还能隐藏他们的指挥与控制(Command and control)僵尸网络的真实地址,以免被安全研究人员发现。

来自卡巴斯基实验室的安全研究人员发现了一款新的基于Tor的银行木马,并把它命名为

“ChewBacca” ("Trojan.Win32.Fsysna.fej")。这款木马窃取银行密码,并且建立在Tor的.onion域名上。 “在多数的案例中,这种措施会保护服务器的位置和服务器拥有者的身份。但是这种方法会有许多缺点以至于罪犯们不想把他们的服务器放置在Tor中。由于其覆盖和结构,Tor可能会很慢,甚至可能会有连接超时的情况。大量的僵尸网络活动可能会影响整个网络,正如我们在Mevade的案例中看到的,使得研究人员轻易地找到他们。”

木马介绍 ChewBacca不是第一个使用Tor网络以确保匿名性的,最近发现的一款Zeus木马的变体也是使用了Tor网络并且针对64位系统的。 这款木马(MD5: 21f8b9d9a6fa3a0cd3a3f0644636bf09)是一款PE32可执行程序,通过Free Pascal 2.7.1编译,在5MB的体积中还包含Tor 0.2.3.25。 在受害者Windows系统中执行之后,它会在开机运行目录下放置spoolsv.exe程序,它还会在用户的Temp目录放置一个Tor 0.2.3.25,以默认设置运行在"localhost:9050",并通过http://ekiga.net/ip查询受害主机的IP地址。接着,木马会记录所有键盘输入,写入临时文件夹下由木马创建的的system.log文件,并通过Tor匿名网络将数据传回僵尸网络控制台。 键盘记录器调用SetWindowsHookExA-API函数,hook类型WH_KEYBOARD_LL,system.log文件通过[url]/sendlog.php上传。 这款木马还会列出所有运行的进程并读取他们的内存信息。通过两个不同的正则表达式获取信息。如图:

这些数据使用Exfiltrate函数传输,上传至[url]/recvdata.php。这款软件还包含了一个用于卸载的名为“P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY”的函数。

指挥与控制服务器 根据研究人员的调查,指挥与控制(Command and control)服务器是使用LAMP开发的,基于Linux, Apache, MySQL and PHP。 “Chewbacca目前没有像其他工具如Zeus一样,在公共(地下)论坛公开。可能这款软件仍在开发中,或者是仅仅是私下使用或共享。” 在僵尸网络的指挥与控制服务器的登录页面,还有一张ChewBacca的图片,出自《星球大战》系列电影。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2013-12-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏happyJared

如何用Python简单褥羊毛 (京东京豆)

  干我们这行的,碰到搬轮子、写代码便能轻松解决的事情要尽早去做,个人认为日常生活中这样的事并不少,走点心或许就是一个学习或是发财机会ヾ(๑╹◡╹)ノ"   ...

32620
来自专栏腾讯云安全的专栏

影响1100万网站的漏洞出没作妖,工程师急cry,怎么办?

23980
来自专栏Seebug漏洞平台

Ztorg:从 root 到 SMS

自从2016年9月以来,我一直在监控 Google Play 商店的新 Ztorg 木马,到目前为止,还发现了几十个新的恶意应用程序。所有这些都是恶意 root...

30380
来自专栏Seebug漏洞平台

Seebug漏洞平台2016年度报告

目录 一、概述 二、漏洞详情等信息以及漏洞验证程序(PoC)收录状况 2.1 漏洞验证程序(PoC)数量统计分析 2.2 收录漏洞的危害等级分布统计分析 2.3...

43830
来自专栏金融民工小曾

一文看懂银联云闪付二维码中的应用服务方如何接入

银联云闪付二维码推出以来,新增了应用服务方这一角色,最近详细研究了下,这篇文章给大家分享一下。

49220
来自专栏FreeBuf

钓鱼引发的APT攻击回溯 | C&C服务器位于韩国,whois注册却在中国上海

一位日本的安全研究者MalwareMustDie发现一种基于Poison Ivy的新型APT攻击,经过他的逆向分析,发现了一些关于攻击厂商的有趣发现。 本文将介...

25590
来自专栏Seebug漏洞平台

BlackOasis APT 和利用 0day 漏洞的新目标攻击

原文地址:https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-z...

33550
来自专栏FreeBuf

树莓派打造洋葱Tor代理路由

这篇文章将给大家讲讲,如何使用树莓派打造洋葱路由,它可以帮助你构建安全的网络环境。 平时有感觉到别人在监控你么,不用再担心啦,现在只要使用Onion Pi To...

56060
来自专栏趣谈编程

白话TCP流量控制

上篇(一个故事读懂TCP拥塞控制)讲的是拥塞控制,这篇讲流量控制。还是以运输粮食为场景。

50020
来自专栏FreeBuf

走近科学 | 伪基站诈骗分析

本文原创作者:Praise(漏洞盒子白帽子) 一、简介 先来说说伪基站:即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取...

35590

扫码关注云+社区

领取腾讯云代金券