Netscout Arbor 研究人员新款恶意软件下载器,在暗网已广泛流传

Netscout Arbor 的研究人员在地下论坛上发现了一款恶意软件下载器,作为付费公测产品,其名称为 Kardon Loader。

来自 Netscout Arbor 的研究人员发现了一款名为 Kardon Loader 的地下论坛上的广告,它允许客户构建恶意软件分发网络或 botshop。

Kardon Loader 的高级版首先在 2018 年 4 月 21 日发现,作者与名字 Yattaze 联机时申请 $ 50,并将其作为独立版本提供,并向用户收取每次额外的重建费用。

“Kardon Loader 是一款在地下论坛上作为付费公测版产品发布的恶意软件下载器。” 阅读由 Netscout Arbor 发布的博客文章。

“该演员将恶意软件作为独立版本销售,并为每次额外的重建收费,或建立 botshop 的能力, 在这种情况下,任何客户都可以建立自己的运营并进一步向新的客户群出售。”

Downloader 恶意软件和机器人商店是创建僵尸网络的重要组件,可用于分发各种恶意软件,如勒索软件,银行木马和加密货币矿工。

骗子使用所提供的接入配电网作为一项服务在网络犯罪地下市场。

专家认为,Kardon Loader 代表了由同一个演员构建的 ZeroCool 僵尸网络的品牌重塑。

Kardon Loader 的广告显得非常专业,演员创建了自己的徽标并提供免责声明,声明该软件不应用于恶意目的。 他还发布了一个展示该平台管理面板的 YouTube 视频。

在演示人员宣传的机器人功能之下:

Bot 功能

下载并执行任务

更新任务

卸载任务

Usermode Rootkit

RC4 加密(尚未实施)

调试和分析保护

TOR 支持

域生成算法(DGA)

来自 ASERT 的研究人员分析了一些恶意代码样本,并注意到某些功能没有实现,例如,所有样本都使用硬编码命令和控制(C&C)URL 而不是 DGA,“usermode rootkit” 和 Tor 支持均为未实现。

专家确定恶意软件下载器检查与防病毒,分析和虚拟化工具关联的各种 DLL 的句柄,并在返回任何句柄时暂停其进程。

为了避免在虚拟化环境中执行,Kardon Loader 还会枚举 CPUID 供应商 ID 值并将其与以下字符串进行比较:

KVMKVMKVM

微软 Hv

VMwareVMware

XenVMMXenVMM

prl hyperv

VBoxVBoxVBox

这些是与虚拟化机器相关的已知 CPUID 供应商 ID 值。 如果检测到这些值中的一个,恶意软件也将退出

Kardon Loader 还可枚举 CPUID 供应商 ID 值,并将其与虚拟机(KVMKVMKVM,Microsoft Hv,VMwareVMware, XenVMMXenVMM,prl hyperv,VBoxVBoxVBox)关联的已知值列表进行比较 。

恶意代码使用基于 HTTP 的 C&C 基础结构,其中包含 base64 编码的 URL 参数。

“执行后, Kardon Loader 将发送 HTTP POST 到 C2,其中包含以下字段:

ID = 识别号码

OS = 操作系统

PV = 用户权限

IP = 初始有效负载(完整路径)

CN = 计算机名称

UN = 用户名

CA = 处理器体系结构 “

反过来,服务器向恶意软件提供指令,例如下载和执行额外的有效载荷,访问网站,升级当前的有效载荷或自行卸载。

管理面板非常简单,它实现了一个仪表板,提供关于 bot 分布和安装统计信息。

“ 这个面板的一个显着特点是机器人商店功能允许机器人管理员为 客户生成访问密钥,使他们能够根据预定义的参数执行任务 ”,继续分析,

“尽管只有在公开测试阶段,这款恶意软件才具有 bot 商店功能,允许购买者通过该平台开设自己的 botshop ,”

分析包括组织可用于阻止与 Kardon Loader 相关的恶意活动的 IoCs。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180621A23QVP00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券