新型僵尸网络:Wonder Botnet深入分析

CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络,该恶意软件由Downloader和真正的Bot两部分组成,通过一些规避技术躲避检测分析,隐藏自己的恶意行为。

一、概述

在调查暗网恶意代码时,ZLab研究员发现了“NetflixAccountGenerator.exe”,这个标榜可以免费创建一个Netflix服务的高级账户,但下载安装之后它并没有这样做,而是安装了一个BOT。

恶意软件的研究人员分析这个exe文件,了解到该威胁程序首次上传在9月20 日,可能是该程序编写者为了测试它的隐藏能力。该恶意程序为一个活僵尸网络,研究人员称之为Wonder botnet ,其命令和控制服务隐藏在一个网站后面,这个网站为另一个网站的镜像。

图1 左图为虚假页面,右图为原始页面

研究人员证实虚假的页面上“support.com”的链接为“wiknet.wikaba.com”,指向僵尸网络C2C的前端,有趣的是它的每一个链接都指向原始页面,研究人员点击一个链接后,被重定向到“support.com”上相应的页面。研究人员还发现了一些隐藏路径,其中包含bots使用的信息和命令。

二、组成情况

该恶意软件由两部分组成:

(1) Downloader:

一个仅用于下载和执行真正bot代码的.Net执行文件,并上传“pastebin.com/raw/E8ye2hvM”。

文件名称:wonder.exe

表1 Wonder下载者的属性信息

下载者的组成文件信息:

(2) 真正的Bot:

当它被下载执行后,会感染宿主,设置其持久性机制,并按照图中的流程开始其恶意行为。

Payload/Bot文件名称:Payload.exe

表2 Wonder Bot的属性信息

Wonder Bot的组成文件信息:

通过使用一些静态分析工具,如PEiD,了解该恶意程序是基于.NET Framework,使用C#编写的。

三、行为分析

整个感染过程从Wonder.exe文件执行成功后开始,它是有效负载的下载器,它会尝试连接“pastebin.com”来检索已编码的有效负载,如果机器未联网, Wonder.exe就会出现崩溃,如下图。

图2 Wonder.exe崩溃

网络连接正常的情况下,这个下载者会尝试访问https://pastebin.com/raw/E8ye2hvM 来执行 Bot 负载。负载开始后会首先尝试解析域“wiknet.mooo.com”,由于该域名未注册,在失败后再成功解析域“wiknet.wikaba.com ”到 IP “104.200.67.190”,研究人员分析该IP指向 C2C ,访问这个网站出现上面图1中的虚假“ support.com”页面。

图3 DNS请求分析

通过对其行为的分析发现存在以下可疑活动:

(1) 如上图中所示的DNS请求。

(2) 在“AppData/Local/ Temp”路径中创建一个文件,可能用于支持bot操作。

(3) 持久性机制,添加自身链接到“C:\ProgramData\Microsoft\Windows\StartMenu\Programs\ Startup”。

Bot和C2C之间的所有通信都在TLSv1层上,所以无法看到。

四、深度分析

(1) 规避行为

和其它的恶意软件一样,该恶意软件也使用一些规避技术来躲避检测和分析,它通过查找一些虚拟库,来隐藏自己的恶意行为,如下图。

图4 Wonder Bot的规避行为分析

(2) 行为流程

Wonder恶意软件控制流程如下图所示:

图5 Wonder Bot的行为流程图

由于它的bot性质,一旦安装在受害者机器上,就必须创建一个ID来标识自己进入僵尸网络,该ID 使用MD5算法加密,并向它添加一个静态字符串。

图6 Bot ID创建

(3) 命令列表

通过进一步分析,得到Bot接收C2C的一些命令,如下表所示:

表3 Wonder Bot 的命令列表

C2C通过“BLOCK”命令结束恶意软件,这个命令会在“AppData/Local/Temp”路径下创建一个新文件(“ Block~” +BOT_ID),该文件也可用于避免感染。关于该恶意软件的YaraRules及详细分析可查看ZLab的分析报告,下载链接为:

http://csecybsec.com/download/zlab/Wonder_botnet_ZLab_report.pdf

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏HaHack

使用叮当声控智米电风扇

1754
来自专栏企鹅号快讯

各种NB的国外黑客网站

这次说说一些非常有价值的国外黑客网站大全! 有需要的可保存下来细细琢磨! 本公众号提供了图书馆及下载专区。该图书馆为初学者提供了黑客知识和计算机技术基础知识。下...

1.7K10
来自专栏安恒信息

80%最畅销SOHO无线路由器发现安全漏洞

经过对很多小型和家庭办公使用最多的无线路由器的安全性进行检测之后发现,在亚马逊前25名最畅销的SOHO无线路由器中,80%存在安全漏洞。 ...

3759
来自专栏小文网

修改HOST文件访问Pixiv插画网站

Pixiv,是一个主要由日本艺术家所组成的虚拟社群,主体为由pixiv股份制有限公司所运营的为插画艺术特化的社交网络服务网站。新兴的日本同人画、插画作品分享站点...

1.2K6
来自专栏FreeBuf

Joomla高危漏洞扫描事件分析

1.摘要 12月14日,Joomla官方网站紧急发布了一条由于安全漏洞引发的版本更新(3.4.6),根据安全公司sucuri对外发布的信息,此事扫描时间是利用了...

2328
来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

4789
来自专栏菜鸟程序员

借Reaper僵尸网络推广免费IP扫描器 然后在IP扫描器里面放个后门

1872
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–凭证分割(165)-2业务处理

在线拆分随新增的总帐会计一起提供。通过参考科目分配对象拆分原始过帐来使用附加科目分配对象增强凭证或完成附加过帐。可实时完成过帐(在线)。

2415
来自专栏FreeBuf

对“利比亚天蝎”网络间谍活动的分析调查(附样本下载)

利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 ? 概要 8月初...

2437
来自专栏FreeBuf

新加坡新保集团(SingHealth)网络攻击事件的可疑线索分析

近期,安全公司 Trustwave 旗下 SpiderLabs 实验室发现了可能与新加坡新保集团(SingHealth)网络攻击相关的一些信息线索,在前一篇文章...

902

扫码关注云+社区

领取腾讯云代金券