E科技

您的位置:主页 > 前瞻

卡巴斯基Plurox:模块化后门程序

今年2月,我们在虚拟桌面上发现了一种奇怪的后门程序。对其分析显示,这种恶意软件有一些让人不快的功能。该恶意软件能够利用一个漏洞利用程序,在局域网传播自身,还能够提供对被攻击网络的访问,在受害者计算机上安装挖矿软件和其他恶意软件。不仅如此,该后门程序还是模块化的,这意味着可以根据需要借助插件扩展其功能。经过分析,这种恶意软件被命名为Backdoor.Win32.Plurox.

主要功能

Plurox是使用C语言编写,并利用Mingw GCC编译的,而且根据代码中存在的调试行判断,这种恶意软件在检测到时正处于测试阶段。

这种后门程序使用TCP协议与命令和控制(C&C)服务器进行通讯;插件通过两个不同的端口载入和直接进行互动,这两个端口被嵌入了Plurox本身;C&C地址也被硬编码到自动程序中。在监控该恶意软件的活动时,我们检测到两个“子网”。在其中一个子网中,Plurox仅从命令和控制中心接收挖矿软件(auto_proc, auto_cuda, auto_gpu_nvidia 模块),在另一个子网中,除了接收挖矿软件外((auto_opencl_amd, auto_miner),还会传递多个插件,我们将在后续讨论这一情况。

Plurox 家族的恶意软件几乎没有加密,只有几个 4 字节密钥用于常规 XOR 加密。调用 C&C 服务器的数据包如下所示:

缓冲区包含一个XORed字符串,密钥位于数据包的开头。来自C&C中心的响应包含要执行的命令和执行数据,这些数据使用XOR加密。当插件被载入时,自动程序本身会选择所需的位数并请求auto_proc和auto_proc64。作为相应,会受到一个包含加密插件的数据包,通常是MZ-PE。

支持的命令

我们发现的Plurox版本共支持7个命令:

· 使用WinAPI进程创建,下载和运行文件

· 更新自动程序

· 删除和停止自身(删除自己的服务、清除autoload,删除文件,从注册表中清除痕迹)

· 下载和运行插件

· 停止插件

· 更新插件(停止老版本的进程并删除文件,载入和开始新的版本)

· 停止和删除插件

插件

监控过程中,我们想办法检测到多个Plurox插件并对其进行了研究。

插件挖矿软件

根据特定的系统配置,这种恶意软件能够在受害者计算机上安装多个加密货币挖矿软件中的一个。自动程序将带有系统配置的软件包发送到C&C服务器,作为响应,它接收有关下载哪个插件的信息。 我们统计了8个挖矿软件模块,其功能可以从它们的名称中猜出:

· auto_proc

· auto_cuda

· auto_miner

· auto_opencl_amd

· auto_gpu_intel

· auto_gpu_nvidia

· auto_gpu_cuda

· auto_gpu_amd

UPnP插件

该模块从C&C接收带掩码/ 24的子网,从中检索所有IP地址,之后尝试使用UPnP协议在路由器上为当前选定的IP地址转发端口135(MS-PRC)和445(SMB)。如果成功,会将结果上报给C&C服务器,等待300秒(5分钟),之后删除转发的端口。我们认为这个插件可用来对本地网络进行攻击。攻击者只需五分钟就可以搞清楚这些端口上运行的服务的所有现有漏洞序。 如果管理员注意到主机上的攻击,他们将看到直接来自路由器的攻击,而不是来自本地计算机。成功的攻击将有助于网络犯罪分子在网络中获得立足点。

根据其描述,这个插件与EternalSilence非常相似,除了其转发的端口是135,而不是139。请参阅Akamai这篇文章来查看EternalSilence的详情:

{"NewProtocol": "TCP", "NewInternalPort": "445", "NewInternalClient": "192.168.10.165",

"NewPortMappingDescription": "galleta silenciosa", "NewExternalPort": "47622"}

Plurox插件模板如下:

<NewProtocol>TCP</NewProtocol>
<NewInternalPort>%d</NewInternalPort>
<NewInternalClient>%s</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewPortMappingDescription>galleta silenciosa</NewPortMappingDescription>

在这两个示例中,突出了一行——描述了端口映射。

SMB插件

这一模块负责使用EternalBlue漏洞利用程序在网络中传播恶意软件。它与Trojan.Win32.Trickster中的wormDll32模块相同,但代码中没有调试行,加上漏洞中的有效负载使用套接字加载。

如这些样本所示,不仅注入的代码类似,而且标准程序的代码也是如此。基于此,我们可以假设分析的样本来自相同的源代码(Plurox插件中缺少Trickster插件中的注释行),这意味着Plurox和Trickster的作者可能有所关联。

卡巴斯基安全解决方案能够检测这种恶意程序和其插件,检测结果为Backdoor.Win32.Plurox 和 HEUR:Trojan.Win32.Generic.

感染迹象

C&C servers

· 178.21[.]11.90

· 185.146[.]157.143

· 37.140[.]199.65

· 194.58[.]92.63

· obuhov2k[.]beget[.]tech

· webdynamicname[.]com

· 37.46[.]131.250

· 188.93[.]210.42

MD5

· Main body 主体

· 59523DD8F5CE128B68EA44ED2EDD5FCA

· C4A74D79030336A0C3CF60DE2CFAE9E9

· CECFD6BCFDD56B5CC1C129740EA2C524

· BE591AA0E48E496B781004D0E833E261

· Trickster Worm module

· f233dd609821c896a4cb342cf0afe7b2

· auto_proc32

· 2e55ae88c67b1d871049af022cc22aac

· auto_proc64

· b2d76d715a81862db84f216112fb6930

· auto_opencl_amd32

· a24fd434ffc7d3157272189753118fbf

· auto_opencl_amd64

· 117f978f07a658bce0b5751617e9d465

· auto_miner32

· 768857d6792ee7be1e1c5b60636501e5

· auto_miner64

· e8aed94c43c8c6f8218e0f2e9b57f083

· upnp32

· 8cf5c72217c1bb48902da2c83c9ccd4e

· upnp64

· b2824d2007c5a1077856ae6d8192f523

· smb32

· 6915dd5186c65891503f90e91d8716c6

· smb64

· cd68adc0fbd78117521b7995570333b2

 

 

 

 

 

 

相关阅读

  • 07-10 卡巴斯基帮助消除智慧家庭控制器中的严重漏洞
  • 06-25 卡巴斯基受邀参加2019年中国工业信息安全大会
  • 06-25 卡巴斯基:人们对未知的恐惧
  • 06-25 卡巴斯基:38%的人愿意放弃社交媒体来保证终身数据隐私安全
  • 06-20 卡巴斯基引领2019工控安全升级,开创智能+新未来