安全路透社
当前位置:安全路透社 > 安全客 > 正文

【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

http://p0.qhimg.com/t01ae7fbeca4b5e9539.png


前言


Agent.BTZ也称作ComRAT,是全球范围内最古老的威胁之一,以2008年袭击美国五角大楼时间著称,技术层面来说,Agent.BTZ是一个由Turla组织开发维护的运用了Snake/Uroburos rootkit技术的用户模式RAT。在过去的几个月我们主导了针对Agent.BTZ代码库以及该病毒如何利用Intezer代码智能技术进行变异的研究,基于我们的研究成果,我们捕捉到了一批新病毒样本,还有超过70个之前未知的活跃IP和DNS地址,这些IP地址正在滥用在非洲和中东地区的卫星互联网服务。本文是我们过去几个月新研究成果的简短概述,后续还会发表文章详细描述我们利用自己的技术发现病毒新变种的过程并会对新病毒样本作完整分析。


Dropper


病毒代码本身并没有抄袭,它与WinRAR没有任何关系,它只是尝试模仿WinRAR的SFX安装器,复制了WinRAR的图标、布局等,如下图所示:

http://p9.qhimg.com/t010608f1732fd443ae.png

病毒执行时dropper会在主机重启后安装activeds.dll,这是一个直接加载到explorer.exe的代理动态链接库,该代理动态链接库用于加载病毒的核心payload stdole2.tlb,之后dropper会删除所有之前安装在受害者主机的Agent.BTZ,这通过以下硬编码文件路径来实现:

a)C:\Documents and Settings\<USER>\Application Data\\Microsoft\\Windows\\Themes\\termsvr32.dll

b)C:\Documents and Settings\<USER>\Application Data\\Microsoft\\Windows\\Themes\\pcasrc.tlb

注意:以上文件名首次使用是在2014年,详细可以参考automatic Dr.WEB report。

上述步骤完成后dropper会利用以下命令进行重命名并自我销毁:

C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\<USER>~1\APPLIC~1\MICROS~1\Windows\stdole2.tlb,UnInstall C:\~$.tmp”

a)69690f609140db503463daf6a3699f1bf3e2a5a6049cefe7e6437f762040e548

b)6798b3278ae926b0145ee342ee9840d0b2e6ba11ff995c2bc84d3c6eb3e55ff4

stdole2.tlb介绍:上文提过该文件是伪造的sfx dropper安装的病毒的主要组件,它通过activeds.dll加载,我们从每一个样本中提取了配置信息以获取c2地址和内部版本信息(PVer),这些信息存储在每一个Agent.BTZ样本中。以前Agent.BTZ病毒的开发者采用了一个增量值标识内置版本号,据2014年G-Data的报道[5],已知的最后一个值是3.26,看起来病毒开发者察觉到了该报道,从此停用了增量值。该病毒的新变种采用了不同以往的0.8/9.<RANDOM_VALUE>(随机值)数字化系统使得研究者更难定位到样本的版本号。

http://p0.qhimg.com/t01e9886e7b0c6854cb.png

从样本提取到的配置信息–PVer 0.9.1528434231

即使没有PVer序列号,我们也能够利用自己的技术手段[6]获知这些新样本是来自于新版本,当然这些病毒样本是在Agent.BTZ最后已知的版本3.25/3.26版本基础上发展而来,以下是下图中前两个文件的md5:

1)4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356(VirusTotal)

2)3a6c1aa367476ea1a6809814cf534e094035f88ac5fb759398b783f3929a0db2(VirusTotal)

这些文件几乎都是在3年前上传到VT的!

http://p3.qhimg.com/t011a27995c4ffd2787.png

来自Intezer代码智能工具[7]的图展示了我们数据库中的与新样本共享代码片段的系列文件,这些代码片段专门针对Turla组织的恶意软件家族,并没有在其他任何恶意或合法软件中出现过。

发现的样本


1)6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96

2)49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e

3)e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49

4)89db8a69ff030600f26d5c875785d20f15d45331d007733be9a2422261d16cea

IOC


sha256 69690f609140db503463daf6a3699f1bf3e2a5a6049cefe7e6437f762040e548 dropper
sha256 6798b3278ae926b0145ee342ee9840d0b2e6ba11ff995c2bc84d3c6eb3e55ff4 dropper
sha256 73db4295c5b29958c5d93c20be9482c1efffc89fc4e5c8ba59ac9425a4657a88 activeds.dll
sha256 50067ebcc2d2069b3613a20b81f9d61f2cd5be9c85533c4ea34edbefaeb8a15f activeds.dll
sha256 380b0353ba8cd33da8c5e5b95e3e032e83193019e73c71875b58ec1ed389bdac activeds.dll
sha256 9c163c3f2bd5c5181147c6f4cf2571160197de98f496d16b38c7dc46b5dc1426 activeds.dll
sha256 628d316a983383ed716e3f827720915683a8876b54677878a7d2db376d117a24 activeds.dll
sha256 f27e9bba6a2635731845b4334b807c0e4f57d3b790cecdc77d8fef50629f51a2 activeds.dll
sha256 a093fa22d7bc4ee99049a29b66a13d4bf4d1899ed4c7a8423fbb8c54f4230f3c activeds.dll
sha256 6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96 stdole2.tlb
sha256 49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e stdole2.tlb
sha256 e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49 stdole2.tlb
sha256 89db8a69ff030600f26d5c875785d20f15d45331d007733be9a2422261d16cea stdole2.tlb
ip 81.199.34[.]150 
dns elephant.zzux[.]com 
dns angrybear.ignorelist[.]com 
dns bigalert.mefound[.]com 
dns bughouse.yourtrap[.]com 
dns getfreetools.strangled[.]net 
dns news100top.diskstation[.]org 
dns pro100sport.mein-vigor[.]de 
dns redneck.yourtrap[.]com 
dns savage.2waky[.]com 
dns tehnologtrade.4irc[.]com 
ip 81.199.160[.]11 
dns forums.chatnook[.]com 
dns goodengine.darktech[.]org 
dns locker.strangled[.]net 
dns simple-house.zzux[.]com 
dns specialcar.mooo[.]com 
dns sunseed.strangled[.]net 
dns whitelibrary.4irc[.]com 
dns bloodpearl.strangled[.]net 
dns getlucky.ignorelist[.]com 
dns proriot.zzux[.]com 
dns fourapi.mooo[.]com 
dns nopasaran.strangled[.]net 
ip 78.138.25[.]29 
dns showme.twilightparadox[.]com 
dns mouses.strangled[.]net 
ip 82.146.175[.]69 
dns mouses.strangled[.]net 
ip 178.219.68[.]242 
dns ftp.fueldust.compress[.]to 
dns ftp.linear.wikaba[.]com 
dns ftp.mysterysoft.epac[.]to 
dns ftp.scroller.longmusic[.]com 
dns ftp.spartano.mefound[.]com 
dns fueldust.compress[.]to 
dns linear.wikaba[.]com 
dns mysterysoft.epac.to 
dns safety.deaftone[.]com 
dns salary.flnet[.]org 
dns scroller.longmusic[.]com 
dns spartano.mefound[.]com 
ip 88.83.25[.]122 
dns robot.wikaba[.]com 
ip 41.223.91[.]217 
dns smileman.compress[.]to 
dns decent.ignorelist[.]com 
dns dekka.biz[.]tm 
dns disol.strangled[.]net 
dns eraser.2waky[.]com 
dns filelord.epac[.]to 
dns justsoft.epac[.]to 
dns smuggler.zzux[.]com 
dns sport-journal.twilightparadox[.]com 
dns sportinfo.yourtrap[.]com 
dns stager.ignorelist[.]com 
dns tankos.wikaba[.]com 
dns grandfathers.mooo[.]com 
dns homeric.mooo[.]com 
dns jamming.mooo[.]com 
dns pneumo.mooo[.]com 
dns razory.mooo[.]com 
dns anger.scieron[.]com 
dns gantama.mefound[.]com 
dns letgetbad.epac[.]to 
dns rowstate.epac[.]to 
dns memento.info[.]tm 
ip 196.43.240[.]177 
dns bughouse.yourtrap[.]com 
dns news100top.diskstation[.]org 
ip 169.255.102[.]240 
dns harm17.zzux[.]com 
dns mountain8.wikaba[.]com 
sha256 0e0045d2c4bfff4345d460957a543e2e7f1638de745644f6bf58555c1d287286 other
sha256 bdcc7e900f10986cdb6dc7762de35b4f07f2ee153a341bef843b866e999d73a3 other
sha256 fac13f08afe2745fc441ada37120cebce0e0aa16d03a03e9cda3ec9384dd40f2 backdoor
sha256 bae62f7f96c4cc300ec685f42eb451388cf50a13aa624b3f2a019d071fddaeb1 other


原文链接:http://www.intezer.com/new-variants-of-agent-btz-comrat-found/

未经允许不得转载:安全路透社 » 【木马分析】2008年重创五角大楼的威胁卷土重来:病毒新变种出现(Part 1)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册