网络安全公司Proofpoint于近日发文称,一种名为“Buer(帕尔)”的全新下载型木马病毒如今已经成长到了足以媲美其老前辈“Smoke Loader”的地步,且已经在暗网市场上积累了一大批忠实粉丝。
暗网广告及功能概述
据称,Proofpoint公司最初发现Buer的时间是在今年的8月28日。在当时,它主要被一些攻击者用来下载并运行Dreambot(银行木马Ursnif的一个变种)。
图1.携带Buer的Microsoft Word附件示例
通过在暗网搜索,Proofpoint公司很快发现了有关Buer的销售广告。
Buer的定价为400美元,包括配套安装服务,即你只需要付钱,至于如何将Buer安装到目标计算机上并确保正常运行全由卖家搞定。
不仅如此,卖家还表示,后续的更新和BIG修复全部免费,但“新建地址”则需要收取25美元的附加费。
图2. Buer的销售广告
广告同时还列出了Buer的控制面板功能,并指出模块化Bot是完全采用C语言编写的,使用的是采用.NET Core编写的控制面板。
总而言之,卖家想要强调的是,由于编程语言的选择,无论是Buer的客户端,还是服务器,都具有较高的性能。
图3.Buer控制面板的登录页面
根据描述,Buer客户端的总大小在55至60KB之间,可以作为Windows可执行文件和动态链接库驻留在内存中运行,并且同时兼容32位和64位Windows操作系统。
值得一提的是,该病毒被设定为无法在独联体国家(前苏联国家,例如俄罗斯)的计算机上运行。
如上所述,由于控制面板是采用.NET Core编写的,因此能够轻松地在Ubuntu/Debian Linux系统上进行安装。
控制面板提供了大量的统计信息,包括在线/活跃/离线/总感染主机的数量、受感染主机列表的实时更新、文件下载计数器,同时还支持按操作系统类型、访问权限、逻辑CPU内核数对受感染主机进行筛选。
图4. Buer控制面板的受感染主机统计页面
图5. Buer控制面板的筛选显示页面(按“Microsoft Windows”筛选)
图6. Buer控制面板的任务创建页面
恶意软件分析
顾名思义,作为一种下载型木马病毒,Buer能够下载并执行其他恶意软件。
反分析功能
Buer具备一些最基本的反分析功能:
通过检查进程环境块(PEB)和线程环境块(TEB)中的NtGlobalFlag来检查调试器;使用Red Pill、No Pill以及相关机制来检查虚拟机;通过检查语言代码,以确保病毒不会在特定国家的计算机上运行。图7.硬编码的语言代码
长久驻留
Buer能够通过配置注册表RunOnce条目来实现在手感染主机上的长久驻留——注册表项要么直接执行病毒,要么安排一个任务来执行它,具体取决于Buer的版本。
命令与控制(C&C)
命令与控制(C&C)功能通过HTTP(S)的GET请求进行处理,命令信标示例如下图所示:
图8. 命令信标示例
这些请求会转到“update API”,并包含一个加密的参数,该参数可以通过以下方式解密:
Base 64解码;十六进制解码;RC4解密(分析样本中使用的密钥为“CRYPTO_KEY”)。以下是明文参数的一个示例:
88a5e68a2047fa5ebdc095a8500d8fae565a6b225ce94956e194b4a0e8a515ae|ab21d61b35a8d1dc4ffb3cc4b75094c31b8c00de3ffaaa17ce1ad15e876dbd1f|Windows 7|x64|4|Admin|RFEZOWGZPBYYOI
它包含使用“|”符号分隔的数据,包括:
Bot ID(各种系统参数的SHA-256十六进制摘要,如硬件配置文件GUID和名称、计算机名称、卷序列号和CPUID);自身可执行映像的SHA-256哈希值;Windows版本;系统架构;处理器数量;用户权限;计算机名称。命令信标响应示例如下图所示:
图9.命令信标响应示例
解密后的纯文本响应示例如下:
图10.解密后的纯文本响应示例
解密后的文本是一个JSON对象,其中包含有关如何下载以及执行有效载荷的各种选项:
type-包含两种类型:
update-更新自身;download_and_exec-下载并执行特定内容。options-指定要下载的有效载荷的选项:
Hash-仅适用于“update”类型,以确认是否存在新的更新;x64-有效载荷是否为64位;FileType-未启用;AssemblyType-未启用;AccessToken-用于下载有效载荷;External-指示是从C&C下载,还是从外部URL下载有效载荷。method-执行Method类:
exelocal-创建进程;memload-注入并手动加载有效载荷;memloadex-注入并手动加载有效载荷;loaddllmem-注入并手动加载有效载荷。Parameters-在命令行中传递的参数
pathToDrop-未启用
autorun-指示是否为有效载荷设置注册表RunOnce,以实现长久驻留
modules-未启用
timeout-未启用
从C&C服务器下载有效载荷是通过对“download API”的请求完成的,如下图所示:
图11.从C&C下载有效载荷
结论
在近期的各种恶意活动中,下载型木马病毒Buer频频出现,作为第二阶段有效载荷的恶意软件包括Dreambot、TrickBot、KPOT、Amadey和Smoke Loader等。
这种全新的下载型木马病毒具有强大的地理位置定位和反分析功能,且目前正在暗网市场出售。鉴于暗网市场上的广告以及硬编码的语言代码,它的开发者被认为很有可能来自母语是俄语的国家。