新型僵尸网络：Wonder Botnet深入分析

CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络，该恶意软件由Downloader和真正的Bot两部分组成，通过一些规避技术躲避检测分析，隐藏自己的恶意行为。

一、概述

在调查暗网恶意代码时，ZLab研究员发现了“NetflixAccountGenerator.exe”，这个标榜可以免费创建一个Netflix服务的高级账户，但下载安装之后它并没有这样做，而是安装了一个BOT。

恶意软件的研究人员分析这个exe文件，了解到该威胁程序首次上传在9月20 日，可能是该程序编写者为了测试它的隐藏能力。该恶意程序为一个活僵尸网络，研究人员称之为Wonder botnet ，其命令和控制服务隐藏在一个网站后面，这个网站为另一个网站的镜像。

图1 左图为虚假页面，右图为原始页面

研究人员证实虚假的页面上“support.com”的链接为“wiknet.wikaba.com”，指向僵尸网络C2C的前端，有趣的是它的每一个链接都指向原始页面，研究人员点击一个链接后，被重定向到“support.com”上相应的页面。研究人员还发现了一些隐藏路径，其中包含bots使用的信息和命令。

二、组成情况

该恶意软件由两部分组成：

(1) Downloader：

一个仅用于下载和执行真正bot代码的.Net执行文件，并上传“pastebin.com/raw/E8ye2hvM”。

文件名称：wonder.exe

表1 Wonder下载者的属性信息

下载者的组成文件信息：

(2) 真正的Bot：

当它被下载执行后，会感染宿主，设置其持久性机制，并按照图中的流程开始其恶意行为。

Payload/Bot文件名称：Payload.exe

表2 Wonder Bot的属性信息

Wonder Bot的组成文件信息：

通过使用一些静态分析工具，如PEiD，了解该恶意程序是基于.NET Framework，使用C#编写的。

三、行为分析

整个感染过程从Wonder.exe文件执行成功后开始，它是有效负载的下载器，它会尝试连接“pastebin.com”来检索已编码的有效负载，如果机器未联网， Wonder.exe就会出现崩溃，如下图。

图2 Wonder.exe崩溃

网络连接正常的情况下，这个下载者会尝试访问https://pastebin.com/raw/E8ye2hvM 来执行 Bot 负载。负载开始后会首先尝试解析域“wiknet.mooo.com”，由于该域名未注册，在失败后再成功解析域“wiknet.wikaba.com ”到 IP “104.200.67.190”，研究人员分析该IP指向 C2C ，访问这个网站出现上面图1中的虚假“ support.com”页面。

图3 DNS请求分析

通过对其行为的分析发现存在以下可疑活动：

(1) 如上图中所示的DNS请求。

(2) 在“AppData/Local/ Temp”路径中创建一个文件，可能用于支持bot操作。

(3) 持久性机制，添加自身链接到“C:\ProgramData\Microsoft\Windows\StartMenu\Programs\ Startup”。

Bot和C2C之间的所有通信都在TLSv1层上，所以无法看到。

四、深度分析

(1) 规避行为

和其它的恶意软件一样，该恶意软件也使用一些规避技术来躲避检测和分析，它通过查找一些虚拟库，来隐藏自己的恶意行为，如下图。

图4 Wonder Bot的规避行为分析

(2) 行为流程

Wonder恶意软件控制流程如下图所示：

图5 Wonder Bot的行为流程图

由于它的bot性质，一旦安装在受害者机器上，就必须创建一个ID来标识自己进入僵尸网络，该ID 使用MD5算法加密，并向它添加一个静态字符串。

图6 Bot ID创建

(3) 命令列表

通过进一步分析，得到Bot接收C2C的一些命令，如下表所示：

表3 Wonder Bot 的命令列表

C2C通过“BLOCK”命令结束恶意软件，这个命令会在“AppData/Local/Temp”路径下创建一个新文件（“ Block~” +BOT_ID），该文件也可用于避免感染。关于该恶意软件的YaraRules及详细分析可查看ZLab的分析报告，下载链接为：

http://csecybsec.com/download/zlab/Wonder_botnet_ZLab_report.pdf