僵尸网络技术分析(一)"/>
Phorpiex僵尸网络技术分析(一)
一、概述
截至目前,Phorpiex僵尸网络已经至少感染了1000000台Windows计算机。此前,我们曾经详细介绍了僵尸网络的架构、命令与控制基础结构以及加密劫持的方法,详细可以参考翻译文章《暴利营生的背后:揭秘Phorpiex僵尸网络的赚钱体系》、《肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员》。
在本文中,我们将详细介绍该僵尸网络用于实现恶意模块的技术细节。
Phorpiex僵尸网络的核心部分是一个名为Tldr的加载工具。该加载工具负责将其他恶意模块和其他恶意软件加载到受感染的计算机。每个模块都是单独的Windows可执行文件。通常情况下,Phorpiex模块非常小并且非常简单。恶意软件配置一般会硬编码到恶意软件的可执行文件之中,在配置中通常包括C&C服务器地址、加密货币钱包和用于下载恶意Payload的URL。如果需要更新配置,僵尸网络操作员只需要将新模块加载到受感染的计算机即可。此外,这些模块会经常进行更新,并进行细微的更改。在2019年期间,我们观察到以下模块:
1、加载工具Phorpiex Tldr;
2、VNC蠕虫模块;
3、NetBIOS蠕虫模块;
4、XMRig Silent Miner挖矿恶意软件;
5、垃圾邮件模块:自我传播并进行性勒索;
6、辅助模块:包括针对特定地理位置的小型加载工具、清理模块。
我们需要强调的是,这些模块中的3个(Tldr、VNC蠕虫和NetBIOS蠕虫)包含允许恶意软件自行传播的功能。例如,Tldr具有文件感染型病毒的功能,并且能够感染其他文件。VNC蠕虫借助弱密码连接到VNC服务器,奇热并尝试通过模拟用户输入来实现攻击。由于该僵尸网络使用了众多模块,因此这一僵尸网络在爆发之后迅速流行。
在这篇报告中,我们重点分析其中两个Phorpiex模块:
1、加载工具Phorpiex Tldr;
2、VNC蠕虫模块。
二、Phorpiex Tldr分析
Tldr(可能是“TrikLoader”的简称)是Phorpiex僵尸网络基础结构的关键部分之一。
Phorpiex Tldr PDB文件名:
当我们首次发现该恶意软件时,我们无法识别该恶意软件,也无从了解这一恶意软件于僵尸网络之间的关联性。但是,通过对其二进制代码、互斥锁名称和沙箱逃避技术进行分析,证明该恶意软件同样是由Phorpiex Trik IRC Bot幕后的网络犯罪分子所开发的。此外,我们在Trik的C&C服务器与Tldr的C&C服务器之间发现了几个共同点。
我们注意到存在大量的Phorpiex Tldr版本,每个版本都具有不同的功能。我们主要关注其中多个版本共同存在的功能,特别是最新版本(自2019年7月起)中添加的新功能。如前所述,Tldr恶意软件的主要目的是向受感染的计算机下载并执行其他模块和恶意软件。但是,这并不是唯一的功能。Tldr还具有自我传播的能力,其行为类似于蠕虫或文件感染型病毒,可以感染其他软件。
Phorpiex Tldr时间线:
2.1 逃避技术
Phorpiex Tldr使用简单的沙箱逃避技术。在启动后,它将调用GetModuleHandle() API函数检查是否在进程中加载了以下模块之中的一个:
· SBIEDLL.DLL
· SBIEDLLX.DLL
· WPESPY.DLL
· DIR_WATCH.DLL
· API_LOG.DLL
· DIR_WATCH.DLL
· PSTOREC.DLL
然后,它会枚举正在运行的进程并检查进程文件名是否为以下之中的一个:
· VBOXSERVICE.EXE
· VBOXTRAY.EXE
· VMTOOLSD.EXE
· VMWARETRAY.EXE
· VMWAREUSER
· VMSRVC.EXE
· VMUSRVC.EXE
· PRL_TOOLS.EXE
· XENSERVICE.EXE
老版本的Tldr(TldrV3,2018年5月)还会检查以下进程:
· python.exe
· pythonw.exe
· prl_cc.exe
· vboxservice.exe
· vboxcontrol.exe
· tpautoconnsvc.exe
最后,Tldr调用IsDebuggerPresent() API函数,以检查是否正在调试恶意软件。
如果其中一项检查没有通过,则Tldr会停止执行。
2.2 初始化
初始化步骤与Phorpiex Trik的初始化步骤非常相似。
为防止运行Phorpiex Tldr的多个实例,恶意软件会创建一个具有特定硬编码名称的互斥锁。较早的版本使用包含版本号的互斥锁名称,例如“TldrV3”。在最新版本,每个恶意软件系列的互斥量名称不同。通常,它由几位数字组成,例如“6486894”。
不同版本的Tldr使用的互斥锁名称:
对于所有的Phorpiex样本来说,下一个步骤都是相通的:删除“:Zone.Identifier”备份数据流。执行此操作的原因是为了消除文件来源不受信任的追踪标记。
此外,自2019年7月起的版本(Tldr v5.0)具有Debug特权。
自2019年7月起版本的Tldr开始获取Debug特权:
更多推荐
Phorpiex僵尸网络技术分析(一)
发布评论