火眼发现最复杂后门 潜伏僵尸入侵全球金融机构
作者:星期一, 十二月 21, 20150

上周五,火眼公司分享了其最新发现的相关细节。他们检测到了某种高度复杂的bot,它自2013年起就开始攻击全球各地的公司,且几乎一直未被反恶意软件解决方案检测到。

640.webp (9)

火眼将这种恶意后门称为LATENTBOT(潜伏僵尸),它在2015年已经成功入侵了9个国家。这些国家有美国、英国、韩国、巴西、阿联酋、新加坡、加拿大、秘鲁和波兰。

火眼研究人员塔哈·卡里姆(Taha Karim)和丹尼尔·瑞格拉道(Daniel Regalado)在研究报告中写道:“它设法抹除了所有留在网上的痕迹,还能够在几乎完全不被注意到的情况下监控受害者,甚至损坏硬盘,让计算机无用。”

火眼公司表示,已经观察到多个行业遭到入侵,但它们主要属于金融服务和保险领域。

LATENTBOT是火眼公司发现过最复杂的后门之一。它的混淆过程分为六个阶段,可以完全在内存中进行所有操作,还能够利用Pony Stealer 2.0恶意插件扫描加密货币钱包。

火眼称,LATENTBOT采用了多重、新层次的混淆方式,并已经成功感染了多个组织。

为了保持隐蔽性,LATENTBOT 中负责入侵系统的的恶意代码只会在内存中驻留极端的时间。

“编码过的数据大多数都出现在程序资源或者注册表中。各个组件之间共享自定义加密算法,并使用它和幕后控制服务器进行通讯。因此,杀毒软件对该后门的二进制家族检测率非常低,即便检测到了,显示的名称也很模糊,比如Trojan.Generic:。”

火眼公司表示,LATENTBOT 从本质上讲并不是有针对性的,但它会选择所感染的 Windows 系统版本,比如它不会在 Windows Vista 或者 Windows Server 2008上运行。此外,如果该恶意软件运行在笔记本上,它将使用 GetSystemPowerStatus 查询电池状态,并调用SetThreadExecutionState,避免系统在电量过低时睡眠或者关闭显示器。

火眼公司研究了网上类似的样本和被动 DNS 信息,该公司认为 LATENTBOT 在2013年就已经被编写出来,它使用已被黑客入侵的服务器进行幕后控制。

该软件背后的黑客使用了一种久经验证的方法,利用恶意邮件发送广为人知的 经典漏洞利用工具包 Microsoft Word Intruder(WMI)。如果用户打开毒化过的 Word 文档,嵌入在文件中的恶意代码就会执行并连接到两类服务器。其一是 MWISTAT 服务器,它可以让操纵者追踪攻击活动;其二是幕后控制服务器,它被用于进行第二阶段的代码下载。研究人员发现,第二阶段下载的代码是 LuminosityLink ,这是一种远程控制软件(RAT),可以窃取密码、记录键盘、传输文件、打开设备麦克风或摄像头。

“由于黑客已经可以使用 LuminosityLink 完全控制受害机器,在发现该软件还会向后备的幕后控制服务器(emenike[.]no-ip.info,180.74.89.183)下载另外一种攻击载荷时,我们感到非常惊讶。”这个被下载的攻击模块正是 LATENTBOT。

LATENTBOT 的核心功能包括:

  • 恶意代码,高度混淆,只在内存中驻留很短暂的时间
  • 在不同的桌面上隐藏应用程序
  • 擦除主引导记录(MBR)
  • 锁定桌面,这类似勒索软件的功能
  • 隐藏的虚拟网络计算机连接(VNC)
  • 模块化设计,在受害者机器上进行更新十分方便
  • 隐身:动态解密回调流量、API、注册表键等指标
  • 投放 Pony 恶意软件,窃取信息

读者可以在火眼官网上查到详细的六个阶段,并下载各种插件、LATENTBOT 样本的 MD5 哈希值、各种幕后控制服务器的 IP 和域名。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章