Netscout Arbor 研究人员新款恶意软件下载器，在暗网已广泛流传

Netscout Arbor 的研究人员在地下论坛上发现了一款恶意软件下载器，作为付费公测产品，其名称为 Kardon Loader。

来自 Netscout Arbor 的研究人员发现了一款名为 Kardon Loader 的地下论坛上的广告，它允许客户构建恶意软件分发网络或 botshop。

Kardon Loader 的高级版首先在 2018 年 4 月 21 日发现，作者与名字 Yattaze 联机时申请 $ 50，并将其作为独立版本提供，并向用户收取每次额外的重建费用。

“Kardon Loader 是一款在地下论坛上作为付费公测版产品发布的恶意软件下载器。” 阅读由 Netscout Arbor 发布的博客文章。

“该演员将恶意软件作为独立版本销售，并为每次额外的重建收费，或建立 botshop 的能力， 在这种情况下，任何客户都可以建立自己的运营并进一步向新的客户群出售。”

Downloader 恶意软件和机器人商店是创建僵尸网络的重要组件，可用于分发各种恶意软件，如勒索软件，银行木马和加密货币矿工。

骗子使用所提供的接入配电网作为一项服务在网络犯罪地下市场。

专家认为，Kardon Loader 代表了由同一个演员构建的 ZeroCool 僵尸网络的品牌重塑。

Kardon Loader 的广告显得非常专业，演员创建了自己的徽标并提供免责声明，声明该软件不应用于恶意目的。 他还发布了一个展示该平台管理面板的 YouTube 视频。

在演示人员宣传的机器人功能之下：

Bot 功能

下载并执行任务

更新任务

卸载任务

Usermode Rootkit

RC4 加密（尚未实施）

调试和分析保护

TOR 支持

域生成算法（DGA）

来自 ASERT 的研究人员分析了一些恶意代码样本，并注意到某些功能没有实现，例如，所有样本都使用硬编码命令和控制（C＆C）URL 而不是 DGA，“usermode rootkit” 和 Tor 支持均为未实现。

专家确定恶意软件下载器检查与防病毒，分析和虚拟化工具关联的各种 DLL 的句柄，并在返回任何句柄时暂停其进程。

为了避免在虚拟化环境中执行，Kardon Loader 还会枚举 CPUID 供应商 ID 值并将其与以下字符串进行比较：

KVMKVMKVM

微软 Hv

VMwareVMware

XenVMMXenVMM

prl hyperv

VBoxVBoxVBox

这些是与虚拟化机器相关的已知 CPUID 供应商 ID 值。 如果检测到这些值中的一个，恶意软件也将退出

Kardon Loader 还可枚举 CPUID 供应商 ID 值，并将其与虚拟机（KVMKVMKVM，Microsoft Hv，VMwareVMware， XenVMMXenVMM，prl hyperv，VBoxVBoxVBox）关联的已知值列表进行比较 。

恶意代码使用基于 HTTP 的 C＆C 基础结构，其中包含 base64 编码的 URL 参数。

“执行后， Kardon Loader 将发送 HTTP POST 到 C2，其中包含以下字段：

ID = 识别号码

OS = 操作系统

PV = 用户权限

IP = 初始有效负载（完整路径）

CN = 计算机名称

UN = 用户名

CA = 处理器体系结构 “

反过来，服务器向恶意软件提供指令，例如下载和执行额外的有效载荷，访问网站，升级当前的有效载荷或自行卸载。

管理面板非常简单，它实现了一个仪表板，提供关于 bot 分布和安装统计信息。

“ 这个面板的一个显着特点是机器人商店功能允许机器人管理员为 客户生成访问密钥，使他们能够根据预定义的参数执行任务 ”，继续分析，

“尽管只有在公开测试阶段，这款恶意软件才具有 bot 商店功能，允许购买者通过该平台开设自己的 botshop ，”

分析包括组织可用于阻止与 Kardon Loader 相关的恶意活动的 IoCs。