Crane恶意代码样本技术分析与防护方案

2016年11月出现了一个针对俄罗斯工业部门的恶意代码Crane。该Windows木马被安全公司命名为BackDoor.Crane.1。其主要功能包括获取受害者计算机内的文件列表并窃取文件;通过连接远程服务器下载并执行恶意代码;实施文件上传、配置文件更新、命令执行等操作。

传播途径

该样本可以通过垃圾邮件、网站挂马、伪装正常软件诱导下载、即时通讯工具文件传输等多种途径传播。

部分传播途径

部分传播途径

 

样本分析

文件结构

从分析结果来看,文件可以通过下载多个恶意模块成为复合文件,目前拿到的样本为主功能执行文件,不包含其他恶意模块。

具体的文件列表如下:

文件名 文件大小 功能简介
bot.exe 329.5KB (337408 bytes) 主样本文件,执行生成文件、连接网络等主要功能。
config.json 生成文件,其所在目录为:%AllUsersProfile%\yandex_service\,内容是本机的信息以及连接远程主机的配置信息。
modules/ *Modules.dll 执行恶意功能的相关模块(在当前分析环境下,此项无;通过分析主样本文件,可知其为远程下载文件)

表1 样本文件列表

主要功能

样本可在Windows XP、Windows Vista、Windows 7、Windows 8等多个操作系统下运行,通过与远程C&C服务器通信完成恶意行为。具体功能如下:

(1) 创建文件:%AllUsersProfile%\yandex_service\config.json(其中win7环境下,路径为C:\ProgramData\yandex_service\connfig.json);

(2)网络行为(执行恶意命令功能):可以使用ftp和http协议,连接域名digi-serv.be (78.46.215.122),并通过连接此服务器,下载并执行恶意模块代码;同时还可以通过该服务器接收攻击者的指令,从而执行模块安装、更新URL、更新配置文件、命令执行等功能。涉及到的命令及相关功能如表2所示;

(3)显示文件列表和上传本地文件(通过网络通信命令发送实现):成功连接远程C&C主控端后,能够通过发送命令的方式显示受害者计算机的文件列表信息,并上传指定的文件;

(4)下载文件(通过网络通信命令发送实现):成功连接远程C&C主控端后,能够通过发送命令的方式下载主控端上的脚本文件和恶意模块文件,下载成功后将安装相关的恶意模块并执行或者直接执行所下载的恶意脚本文件。

命令 功能
upload 通过ftp协议上传文件
filelisting 获取文件列表并发送给远程的CC服务器
download 从指定链接下载文件并保存在指定的文件夹
setupmodule 安装模块
uploadtoadmin 通过http协议上传文件
update 更新url
updateConf 更新配置文件(config.json里的项)
cmd 使用命令提示符执行命令

表2 命令功能列表

样本的恶意功能都通过网络通信过程中的命令发送和接收实现,样本执行过程如下图所示:

执行流程概要图

执行流程概要图

以下为具体的分析过程:

%e5%8f%8d%e8%b0%83%e8%af%95

图3 反调试(使用IsDebuggerPresent查看是否调试,并设置异常处理函数)

创建窗口

创建窗口

以隐藏形式显示窗口

以隐藏形式显示窗口

使用时间及随机数生成botID

使用时间及随机数生成botID

创建文件

创建文件

创建文件(%AllUsersProfile%\yandex_service\config.json)

创建放置恶意功能模块的目录

创建放置恶意功能模块的目录

在当前目录的恶意功能模块目录中查找相关模块

在当前目录的恶意功能模块目录中查找相关模块

查找并安装模块

查找并安装模块

生成json文件的部分选项

生成json文件的部分选项

获取计算机主机信息

获取计算机主机信息

获取计算机主机信息(计算机名、用户名、网络信息、进程信息等)

生成的json格式配置文件

生成的json格式配置文件

生成的json格式配置文件(config.json)

构造注册包发送数据

构造注册包发送数据

构造第二次发送的请求URL

构造第二次发送的请求URL

第二次发送的请求数据

第二次发送的请求数据

网络连接

网络连接

根据C&C服务器返回数据处理

根据C&C服务器返回数据处理

网络行为

样本连接域名digi-serv.be,成功向C&C主控端发送包含本机信息的注册包后,接着发送第二个请求信息包,请求下载相关的命令脚本从而执行命令,截至分析时,C&C主控端无请求的返回信息。以下图片显示了发送注册包及请求的相关信息。

网络连接域名

网络连接域名

DNS解析及C&C通信部分数据

DNS解析及C&C通信部分数据

注册包通信数据(发送本机信息给主控端)

注册包通信数据(发送本机信息给主控端)

发送的请求URL

发送的请求URL

在分析环境下,都无法获得的C&C主控端回复,根据代码分析,其中正常发送请求后,若C&C服务器发送指令信息,则指令段的回复数据应该为如下框图中所示的格式,其中command字段即为攻击指令字段:

 

持续攻击的方法

样本自身使用隐藏窗口的方式启动,一旦执行,难以发现。没有自启动方式。

杀软对抗

针对主样本文件,除了获取主机信息外,无其他恶意行为,因此主样本文件并不会被杀毒软件判定为恶意文件。其恶意行为主要是通过远程连接C&C服务器,下载文件并执行(或者下载模块并安装),以及执行其他的攻击者指定的命令来实现。

攻击定位

通过对该样本的网络行为进行简单的跟踪,发现该IP(78.46.215.122)位于德国柏林。

攻击定位

攻击定位

绿盟科技TAC检测结果

TAC检测结果

TAC检测结果

 

检测方法

绿盟科技检测服务

  1. 绿盟科技工程师前往客户现场检测。
  2. 绿盟科技在线云检测,登陆绿盟云,申请威胁分析中心试用。链接地址如下:

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1018

绿盟科技木马专杀解决方案

  1. 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  2. 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。
  3. 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

总结

该样本将所有的恶意代码都放置在远程连接的C&C 服务器上,使用http协议进行通信,在本机上没有明显的恶意行为,具有良好的杀软对抗性。同时,其预留加载恶意功能模块的功能,攻击者可以随时更新样本所能执行的恶意功能,具有灵活性;且其执行完成后即删除所执行的恶意功能模块,具有隐蔽性。

综上所述,此样本具有更好的隐蔽性和灵活性,给个人计算机的安全防范增加了难度。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

报告下载:analysis-and-protection-scheme-of-crane-code-samples-1129

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

发表评论