卡巴斯基Plu rox:模块化后门程序

干瞪眼 http://www.tjhthr.co 评论

今年2月,我们在虚拟桌面上发现了一种奇怪的后门程序。对其分析显示,这种恶意软件有一些让人不快的功能。该恶意软件能够利用一个漏洞利用程序,在局域网传播自身,还能够提供对被攻击网络的访问,在受害者计算机上安装挖矿软件和其他恶意软件。不仅如此,

今年2月,我们在虚拟桌面上发现了一种奇怪的后门程序。对其分析显示,这种恶意软件有一些让人不快的功能。该恶意软件能够利用一个漏洞利用程序,在局域网传播自身,还能够提供对被攻击网络的访问,在受害者计算机上安装挖矿软件和其他恶意软件。不仅如此,该后门程序还是模块化的,这意味着可以根据需要借助插件扩展其功能。经过分析,这种恶意软件被命名为Backdoor.Win32.Plurox.

主要功能

卡巴斯基Plu rox:模块化后门程序

Plurox是使用C语言编写,并利用Mingw GCC编译的,而且根据代码中存在的调试行判断,这种恶意软件在检测到时正处于测试阶段。

这种后门程序使用TCP协议与命令和控制(C&C)服务器进行通讯;插件通过两个不同的端口载入和直接进行互动,这两个端口被嵌入了Plurox本身;C&C地址也被硬编码到自动程序中。在监控该恶意软件的活动时,我们检测到两个“子网”。在其中一个子网中,Plurox仅从命令和控制中心接收挖矿软件(auto_proc, auto_cuda, auto_gpu_nvidia 模块),在另一个子网中,除了接收挖矿软件外((auto_opencl_amd, auto_miner),还会传递多个插件,我们将在后续讨论这一情况。

Plurox 家族的恶意软件几乎没有加密,只有几个4 字节密钥用于常规XOR 加密。调用 C&C 服务器的数据包如下所示:

卡巴斯基Plu rox:模块化后门程序

缓冲区包含一个XORed字符串,密钥位于数据包的开头。来自C&C中心的响应包含要执行的命令和执行数据,这些数据使用XOR加密。当插件被载入时,自动程序本身会选择所需的位数并请求auto_proc和auto_proc64。作为相应,会受到一个包含加密插件的数据包,通常是MZ-PE。

支持的命令

我们发现的Plurox版本共支持7个命令:

·使用WinAPI进程创建,下载和运行文件

·更新自动程序

·删除和停止自身(删除自己的服务、清除autoload,删除文件,从注册表中清除痕迹)

·下载和运行插件

·停止插件

·更新插件(停止老版本的进程并删除文件,载入和开始新的版本)

·停止和删除插件

卡巴斯基Plu rox:模块化后门程序

插件

监控过程中,我们想办法检测到多个Plurox插件并对其进行了研究。

插件挖矿软件

根据特定的系统配置,这种恶意软件能够在受害者计算机上安装多个加密货币挖矿软件中的一个。自动程序将带有系统配置的软件包发送到C&C服务器,作为响应,它接收有关下载哪个插件的信息。 我们统计了8个挖矿软件模块,其功能可以从它们的名称中猜出:

·auto_proc

·auto_cuda

·auto_miner

·auto_opencl_amd

·auto_gpu_intel

·auto_gpu_nvidia

·auto_gpu_cuda

·auto_gpu_amd

UPnP插件

该模块从C&C接收带掩码/ 24的子网,从中检索所有IP地址,之后尝试使用UPnP协议在路由器上为当前选定的IP地址转发端口135(MS-PRC)和445(SMB)。如果成功,会将结果上报给C&C服务器,等待300秒(5分钟),之后删除转发的端口。我们认为这个插件可用来对本地网络进行攻击。攻击者只需五分钟就可以搞清楚这些端口上运行的服务的所有现有漏洞序。 如果管理员注意到主机上的攻击,他们将看到直接来自路由器的攻击,而不是来自本地计算机。成功的攻击将有助于网络犯罪分子在网络中获得立足点。

卡巴斯基Plu rox:模块化后门程序

      根据其描述,这个插件与EternalSilence非常相似,除了其转发的端口是135,而不是139。请参阅Akamai这篇文章来查看EternalSilence的详情:

卡巴斯基Plu rox:模块化后门程序

极速飞车_体彩排列五:卡巴斯基Plu rox:模块化后门程序

喜欢 (0) or 分享 (0)
发表我的评论
取消评论

表情

您的回复是我们的动力!

  • 昵称 (必填)

网友最新评论