记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

分析一个僵尸网络-剖析TEMPEDREVE(第一部分)

2015-04-22 11:10

分享到:

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504221110124645.jpg

        2014年11月,AnubisNetworks公司检测到了一种新型的域名生成算法并且已经将其封堵。这种特殊的恶意软件有一个有趣的特点:该软件HTTP请求模式的自动检测数据中包含了URL地址,有些类似于微软PKI的CRL下载请求。在那个时候,并没有多少有价值的信息可以告诉我们有哪种恶意软件在使用这种URL模式,所以这个恶意软件作为一个未知的PKI而被列入了Cyberfeed的名单中,并被归类为木马病毒。

        当他们出现在被封堵的域名系统中,AnubisNetworks能够检测到新型的域名生成算法。但在这种情况下,我们并不能立即确定这种域名生成算法属于那种恶意软件家族。为了了解更多的信息,我们对该软件的样本进行了分析并了解该恶意软件的类型。

        就在这个域名生成算法被封堵的几个月之后,检测到了一个在C2通信时使用同样URL模式的恶意软件样本。从12月开始,这个恶意软件样本就被反病毒厂商所确定了, 就像Tempedreve(赛门铁克)PE_URSNIF(趋势科技)PdfCrypt(迈克菲)一样。

        Tempedreve是一个木马病毒,它侧重于从受害人的计算机中窃取信息,其具有以下几种功能:

        ■收集系统信息;

        ■截取屏幕信息;

        ■下载并执行其他文件;

        ■执行浏览器攻击(窃取浏览器的传输数据,例如用户名和密码);

 

        这个木马的一个有趣的特点就是,它有感染文件系统以及网络驱动器的文件(.PDF和.exe)的能力,并且可以进行自我复制。这个特点使得它的危险性极高,因为它可以轻易地感染在一个网络上使用相同共享文件的多台计算机系统。

        虽然这种恶意软件在2014年12月就开始被检测为Tempedreve木马,但是经过调查研究,我们发现这种恶意软件很有可能是Tuscas恶意软件的进化版本,它并入了一些额外的“技巧”,例如将加密数据发送到C2基础设施和使用域名生成算法来增加僵尸网络的灵活性。

        在检测到了与我们已经封堵的域名生成算法有联系的恶意软件样本之后, AnubisNetworks公司内部进行了一些调查研究。这篇文章详细介绍了这些调查研究的信息,研究目标包含以下几个部分:

        ■了解域名生成算法的工作机制;

        ■破译网络协议;

        ■发现恶意软件的能力;


        全球感染概述

        这个域名生成算法于2014年12月11日出现在我们的系统中,并立刻被加入到了AnubisNetworks公司的实时威胁智能平台Cyberfeed中。从那一刻起,我们所有的客户便开始接收到木马程序的实时感染数据。

        下面这张从Cyberfeed网站上获得的地图显示了至少一个城市的实时感染情况。

http://p6.qhimg.com/t0120d3e7c0bf9276f2.png

        这种恶意软件在北美和英国的发病率极高,而世界上其他的国家的感染率很大程度上并未有太多的变化。

        下面这张图片显示了从我们封堵这个域名生成算法之日起,这个恶意软件所感染的IP地址的历史数据。

http://p0.qhimg.com/t01d93df904c945d677.png

        在这段时间内,受感染的IP地址数量在12月初到达了顶峰,此后受感染的IP地址数量便一直稳定在1500左右。

        请注意,这并不意味着全球只有1500台计算机感染了Tempedreve木马。每一个IP所感染的计算机很可能不止一台,并且还有大量并没有使用域名生成算法的Tempedreve木马,或者只使用了域名生成算法的一个回退机制的Tempedreve木马。这张图表只显示了我们以未知PKI类型而进行封堵的木马所感染的数量情况。

        请继续关注第二和第三部分,我们将详细介绍这款恶意软件的功能、网络协议结构和域名生成算法。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://www.anubisnetworks.com/community/anubislabsblog/anatomy-of-a-botnet-dissecting-tempedreve-part-1/

知识来源: bobao.360.cn/learning/detail/361.html

阅读:124601 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“分析一个僵尸网络-剖析TEMPEDREVE(第一部分)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云

本页关键词