首頁 >運維 >安全 >Glupteba惡意軟體變種實例分析

Glupteba惡意軟體變種實例分析

王林
王林轉載
2023-06-02 23:11:57897瀏覽

最近發現了惡意軟體glupteba的網路攻擊行為。這是一個老的惡意軟體,曾經在名為「windigo」的攻擊行動中被發現,並透過漏洞傳播給Windows用戶。

2018年,一家安全公司報告說,glupteba已經獨立於windigo行動,並轉向按安裝付費的廣告軟體服務。 Glupteba活動目的各不相同:提供代理服務,利用漏洞進行挖礦活動等。

在研究了近期發現的glupteba變體之後,我們發現glupteba惡意軟體以外的兩個未經記錄的元件:    

1、瀏覽器竊取程序,它可以從瀏覽器中竊取敏感數據,例如瀏覽歷史記錄、網站cookies、帳戶名稱和密碼,並將資訊傳送到遠端伺服器。

2、利用CVE-2018-14847漏洞攻擊本地網路中Mikrotik路由器。它將被盜的管理員憑證上傳到伺服器。路由器將被當作代理中繼使用。       

#除此之外,我們在Glupteba中也發現了他可以利用比特幣交易來取得最新的C&C網域。我們將在下一節中進一步解釋此功能。惡意軟體開發者仍在不斷改進其軟體,並努力將代理網路擴展到物聯網設備。

Glupteba惡意軟體變種實例分析Glupteba惡意軟體變種實例分析

Glupteba下載分析    

##這段文字可以改寫為:自訂打包程式使用Go程式語言編寫並編譯為可執行文件,用於打包下載的二進位。在初始化設定資訊時,首先要取得目前應用程式資訊、操作資訊、硬體資訊和一些硬編碼的二進位資訊。它建立註冊表項hkey_users\\software\microsoft\testapp以儲存所有取得的資訊。運行初始化函數的結果如下圖所示。   


sendparentprocesss函數從登錄中取得machine_guid,並從檔案名稱、pid和父進程的名稱中取得分發伺服器id和活動id。程式會使用AES加密演算法將資訊嵌入在POST請求中,並將其上傳到C&C伺服器。   Glupteba惡意軟體變種實例分析

之後檢查進程是否被提升並作為系統使用者運作。當進程未被提升時,它會試圖使用fodhelper方法來提高權限。如果它不是作為系統使用者運行,那麼它將使用「作為受信任的安裝程式運行」方式啟動。

有以下主要指令:    


Glupteba惡意軟體變種實例分析

函數mainstall檢查已安裝的防毒程序,新增防火牆規則,並新增Defender排除項目。

函數mainpoll定期輪詢c&c伺服器取得新指令。以下是未經過AES加密的POST參數:


challenge=e94e354daf5f48ca&cloudnet_file=1&cloudnet_process=1&lcommand=0&mrt=1&pgdse=0&sb=1&sc=0&uuid=&version=145&wup_process=1&wupv=0.
最後,函數handlecommand實現後門功能。


Glupteba惡意軟體變種實例分析Glupteba惡意軟體變種實例分析

C&C更新能力

#後門有大部分標準功能,該惡意軟體可以透過discoverdomain功能透過區塊鏈更新其c&c伺服器位址。   


discoverDomain函數可以自動執行或透過後門指令執行。 discoverdomain首先使用公開清單枚舉electrum比特幣錢包伺服器,然後嘗試使用硬編碼雜湊查詢歷史記錄。


Glupteba惡意軟體變種實例分析

瀏覽器竊取資訊元件

glupteba變體中發現元件稱為“updateprofile”,它是一個瀏覽器設定檔、cookies和密碼提取程式。資訊收集伺服器收集了被壓縮的cookies、歷史記錄和其他設定檔。此元件也用go編寫,編譯為可執行的,並用upx打包。

瀏覽器竊取程式的另一個版本稱為「vc.exe」。它旨在提取瀏覽器儲存的密碼和Cookies數據,並發送至資訊收集伺服器。   


路由器攻擊元件

我們發現的另一個元件是路由器攻擊元件,它也是用go語言開發的。它可以查看受害者網路的預設閘道並透過呼叫wmi命令「select defaultipgateway from win32_networkadapterconfiguration where ipenabled=true」來獲得預設ip網關的清單。

除了這些位址,還新增了以下三個預設位址:192.168.88.11、192.168.0.1、192.168.1.1。   


一旦元件成功連接到監聽埠8291的設備,它就會試圖利用CVE-2018-14847漏洞攻擊該設備,該漏洞會影響Mikrotik路由器上使用的Routeros系統。它允許攻擊者從未修補的路由器取得管理員憑證。取得的帳號名稱和密碼儲存在json物件中,經過加密,並傳送到c&c伺服器。   

成功取得憑證後,將會在路由器的計畫程式中新增任務。新增調度器任務有三種實作方法:使用winbox協定、使用ssh或使用api。   

Glupteba惡意軟體變種實例分析

路由器流量中繼

在上述設定之後,路由器成為攻擊者中繼流量的SOCKS代理。攻擊者可能擁有伺服器透過socks代理程式路由的第一個遠端連線。此伺服器查詢傳回目前SOCKS代理伺服器的IP位址。此查詢重複發送,可能是為了監視SOCKS代理服務。   

在第一次檢查路由器狀態之後,有兩種類型的流量連接到代理程式的不同伺服器。第一個是垃圾郵件流量。使用路由器的socks代理,遠端伺服器連接至多個不同的郵件伺服器的smtp。如果郵件伺服器接受了連接,則該遠端伺服器將開始發送垃圾郵件。   

Glupteba惡意軟體變種實例分析除了垃圾郵件流量,還有一組遠端伺服器的其他流量,這些伺服器反覆連接到instagram。由於流量已經受到 HTTPS 加密保護,我們無法確定這些連線的具體用途。有可能是針對instagram的密碼重複使用攻擊。   

Glupteba惡意軟體變種實例分析

安全建議

惡意軟體是廣泛存在的威脅,會影響使用者和企業。從網關、端點、網路和伺服器,多層的安全方法非常重要。

由於大多數家庭和辦公室設備都連接到路由器上,因此在設定路由器時,應該優先考慮安全性。用戶和企業可以採用良好的安全措施來抵禦威脅。另外,使用相關工具為家庭網路和連接的設備增加了額外的安全保障,進一步增強了安全防禦。

以上是Glupteba惡意軟體變種實例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:yisu.com。如有侵權,請聯絡admin@php.cn刪除