SnatchLoader是一种“downloader”类型的恶意软件专门用于将恶意软件分发(或加载)到受感染的计算机系统上。 我们在2017年1月左右发现了该恶意软件的网络攻击活动,该攻击活动一直持续了几个月的时间才慢慢消失。最近,我们的研究人员发现该恶意软件又开始发起新一轮的网络攻击活动了,在此次网络攻击活动中我们捕获到了该恶意软件的更新,并发现该恶意软件正被用于加载Ramnit银行特洛伊木马。此外,该恶意软件还使用了一个称为“地理IP阻止”的有趣功能,以使得只有某些地理区域的计算机才会被感染。到目前为止,我们已经能够确定,至少英国和意大利是该恶意软件攻击的目标,但美国,法国和香港目前还不是。
SnatchLoader命令和控制面板的登录页面
介绍
几个月前,有一个关于关于垃圾邮件广告的Twitter ,当时是一个未知的“downloader”恶意软件,该恶意软件专门用于将恶意软件分发(或加载)到受感染的计算机系统上。根据我们的分析,该“downloader”恶意软件是“SnatchLoader”恶意软件的更新程序,KernelMode.info论坛在2017年1月期间有对SnatchLoader进行简要讨论的相关帖子的。正如论坛上该帖子所述,尽管没有进行详细的代码比较,但SnatchLoader和H1N1 Loader的恶意软件家族似乎有一些相似之处。除此之外,目前我们还没有看到任何关于SnatchLoader恶意软件的进一步讨论,因此本文我们将对SnatchLoader最新版本更新进行分析。
样本
Windows api调用
通过我们的分析发现,该恶意软件对Windows API的调用都是在运行时通过函数名哈希的方式进行的,散列算法是ROL和XOR运算的组合,在GitHub上可以找到该散列算法的一个Python代码实现。以下是一些API函数名称及其对应的哈希表:
静态配置
一个静态配置被加密存储在DLL的PE Section中,目前我们已经看到该Section的两个名称:.iData和.xdata .,具体如下图所示:
Section的第一个DWORD(上图中的0x99a8)用作密钥生成函数的种子,此功能的Python实现在GitHub上可以找到 ,使用RC4算法和生成的密钥可以解密剩余的数据。解密的配置可以分成两个块:第一个块是XML结构的配置数据,具体如下图所示(为了可读性添加了空格):
SRV是命令和控制(C2) 服务器 的URL,TIME是回连的轮询间隔(单位时间为分钟),NAME是一个活动标识符(02.10可能意味着10月2日),KEY用于加密回连通信。
第二个配置块是一个RSA证书,用于对下载的数据的执行签名检查。
命令与控制
到目前为止,我们观察到的所有C2 URL都是HTTPS的。 但是通过使用调试器,我们可以使用HTTP与服务器进行通信,并以明文方式查看回连的通信网络流量,具体如下图所示:
恶意软件对POST数据进行了四次加密操作:
2.Base64编码
3.字符替换
4.使用“\ r \ n”分隔符把数据拆分成64字节的数据块
有三个字符被替换了,并且它们都是可逆的:
+ 到 –
/ 至 _
. 到 =
响应数据好像也被加密处理了,但并没有经过4次加密处理。
通信分为四种请求类型:
1.获取动态配置
2.发送系统信息
3.命令轮询
4.发送命令结果
获取动态配置请求
以下是“获取动态配置”请求的纯文本请求数据:
各个请求字段的含义分别是:
响应如下所示:
该响应可以分为两个字段:状态字段和数据部分。这里的状态字段是“SUCCESS”,数据部分被封装在“
发送系统信息请求
第二个回连请求发送一堆系统信息,如下所示:
req – 请求类型
guid – bot ID
name – 来自配置的NAME
win – Windows版本
x64 – 是64位架构
adm – 是管理员
det – 与反分析相关
def – 检测反分析过程名称
nat – 具有RFC1918 IP地址
usrn – 用户名
cmpn – 电脑名称
uagn – 用户代理
sftl – 从注册表中的Uninstall 键值中列举软件
prcl – 进程列表
垃圾 – 随机长度的随机字符
响应如下所示:
命令轮询请求
除了请求号是2之外,命令轮询请求看起来类似于“获取动态配置”请求,一个示例响应如下所示:
SUCCESS |
该响应具有两个字段,第一个字段是状态字段,第二个字段是数据部分。这里的数据可以是零个或多个以下字段的TASK块:
任务ID
命令类型
命令arg1(例如文件类型)
命令arg2(例如哈希值)
命令数据(例如可执行文件或URL)
SnatchLoader的主要功能是下载并加载其他恶意软件系列,因此大多数命令类型和参数都支持以各种方式执行。在这个例子中,命令是首先提取嵌入的可执行文件然后执行提取到的可执行文件。其他一些支持的命令是:
插件功能
更新配置
更新程序
发送命令结果
最后一个回连类型用于发送命令的结果:
除了请求号是3之外,该请求类似于“命令轮询”的请求,并且添加了一个附加参数(results)。 对于此请求,C2没有任何的响应内容。
地理阻止和当前有效载荷
到目前为止,我们发现了该C2服务器的一个有趣的特征,它们似乎正在基于源IP地址执行某种地理阻塞操作。当我们尝试通过美国,法国或香港的TOR或科学节点与C2服务器进行互动时,服务器会响应“404 Not found”错误。但是,如果我们尝试使用英国和意大利的科学节点,C2服务器则会对请求进行回应。一般来说,地理阻挡不是一个新的特征,但并不是特别常见的。
结论
在这篇文章里,我们对SnatchLoader下载器恶意软件进行了研究和分析,该恶意软件最早我们可以追溯到2017年1月,并且在上周我们发现了该恶意软件的更新。目前,该恶意软件正在通过垃圾邮件广告进行传播,并根据地理位置封锁功能对某些特定的地理区域发起网络攻击。在撰写本文时,SnatchLoader正在将Ramnit恶意软件在英国和意大利这两个国家内进行传播。
WiFi可以用什么软件破解吗?给我推荐一个完全可以破解WiFi密码的软件,谢谢。
第一款:wifi万能钥匙说到破解WiFi密码,很多朋友就会想到wifi万能钥匙,也是目前比较主流的WiFi密码破解的软件,提供电脑端、手机端等设备以无线方式互相连接的技术,达到破解分享wifi的功能。 第二款:wifi伴侣一款公共wifi连接和认证软件,不管你是联通、电信、还是移动用户,只要你能够搜到CMCC信号,都可无需帐号和密码,一键接入中国移动所有省份的CMCC网络。 wifi伴侣免费版用户可以免费畅游无线网络。 同时支持PC端、安卓、苹果、平板等等设备。 第三款:wifi共享精灵一键共享WiFi,让手机、Pad、笔记本电脑免费WiFi上网,手机照片一键同步到电脑,无需数据线连接,电脑/手机照片WIFI互传,支持多种校园网环境,并且保证wifi安全,防恶意蹭网。 第四款:腾讯WiFi管家腾讯WiFi管家是一款免费的WiFi管理软件,无需输入密码,就能连接亿万公共WiFi热点,自由上网。
wi-fi是怎样的一种技术?
Wi-Fi是一种可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。 Wi-Fi一词由Wi-Fi产业联盟(Wi-Fi Alliance)提出。 (见参考链接)Wi-Fi的出现是1985年美国联邦通信委员会(FCC)决定开放几个无需政府许可证即可使用的无线频段的结果。 这些所谓的“垃圾频段”已经分配给设备,如使用无线电波加热食物的微波炉。 为了在这些频段工作,设备需要使用“扩频”技术。 该技术将无线电信号扩展为宽范围的频率,以使信号受到干扰更少并更难截获。 Wi-Fi是一种基于802.11b、802.11a 以及尚未最后成形的802.11g标准的无线网络技术,它可使用户实现无线接入和共享网络资源。 架设无线网络的好处是免除布线的麻烦,同时也更容易存取网络数据。 在新标准下,Wi-Fi的无线距离从300英尺拓展到几英里,信号遇到阻碍会反弹,而且还可以穿透墙壁。 此外,该标准可以修复安全漏洞,并可传输高质量通话。 高频率Wi-Fi可以使相距几英里之遥的两个天线间发生联系,交换数据。 它的短途无线数据传输速度是拨号方式的200倍,但价格丝毫不比拨号贵。 而与3G相比,Wi - Fi的优势还在于终端先行,早已深入人心的笔记本电脑让每个用户都感觉使用方便,英特尔“迅驰”的标记更是深化了这种推动。 从某种意义上说,3G的终端品牌似乎已被Wi - Fi抢先塑造了。 于是,有人认为Wi-Fi很可能在未来一段时间内超越3G。
8个因特网接入技术比较?
MODEM 已经慢慢被淘汰,一般用于宽带无法到达,或技术原因无法实现的地方(仅适合个人用户;需要PCI MODEM/ISA MODEM,有电话线和Modem就可以上网) ISDN 数字综合信息业务网比 MODEM 快,可以实现双线连接(适合个人用户;AT MODEM,10M/100M网卡,可以打电话的同时上网64K/s,同时使用2条通道,速度128K/s(无法打电话)) ADSL 现在比较普遍的宽带上网连接方式(适合个人及小型群体;信号分离器,ADSL MODEM,10M/100M网卡。 可以连接小型局域网共享上网,根据电话线扩展,大众化比较强) Cable Modem 现在比较流行的一种宽带上网方式(适合个人及小型群体;Cable Modem,10M/100M网卡,速度快,使用有线电视线路传输,需要两条线路,有线电视线路单向传输) DDN 网络专线 价格比较贵,线路独享(适合企业部门,小型群体;需要硬件不详) 光纤 速度快,价格高。 一般专用机房或者大型企业需要,低速光纤中型企业也能支付的起(大型群体;光模转换器) 无线 移动性比较强的地方,例如机场。 家庭用户为了防止布线破坏家装,同样可以考虑使用无线上网方式(无线路由器(或者无线Modem),无线网卡,移动性强,省去布线的麻烦) 电力上网 情况和 Cable Modem 差不多 以上任何一项都可以扩展为局域网接入
发表评论