DorkBot僵尸网络近期活跃情况报告
2019-11-06 11:00:54 Author: www.freebuf.com(查看原文) 阅读量:124 收藏

背景介绍

DorkBot是一个臭名昭著的僵尸网络,使用的攻击手段包括后门植入,密码窃取等恶意行为。传播方式也各式各样,包括移动U盘、即时通讯软件、社交网络、电子邮件等。主要攻击目的就是盗取用户密码,以及各种能够识别个人身份的信息。

去年7月,深信服安全团队在应急响应工作中发现DorkBot的一个变种。近几个月,通过深信服安全云脑的监控数据发现Dorkbot又开始活跃。下图可以看到该僵尸网络的活跃指数逐月升高。僵尸网络一般都是作为网络攻击的载体,勒索软件、挖矿木马等很多恶意软件目前都通过僵尸网络分发。

从感染位置来看,东南沿海、京津冀和西南地区受灾较为严重。其中广东省、山东省、山西省分列感染量前三,出人意料的是青海感染量位居第五。分布如下图所示:

从感染行业来看,政府、教育部门和企业为主要攻击目标。

在国内各省份和地区中,广东省感染量最大。其中企业、政府和教育部门受害严重,也基本上与国内整体感染行业的分布较为类似。由此可见,相关行业亟需加强对网络攻击的防御。

样本分析

病毒流程

反检测技术

文件用了多层payload解密的技术,用于躲避安全软件检测和干扰调试,最后解密出一个完整的PE文件,包含核心恶意代码。

通过字符串终止下列安全软件进程:

norton、antivirus、symantec、mcafee、eset、avg、avast、avira、kaspersky、checkpoint、grisoft、antivir、bitdefender、windows defender、unlocker、sandboxie、windowsupdate、alwil、avpersonal、sophos、virus、f-secure、trend、ccleaner、malware、norton、internet security、drweb、spyware

注入技术 

创建一个同名进程,将解密的PE文件注入进程。

核心代码中所使用的API都通过动态获取函数地址,并且关键字符串都需要解密使用。

创建calc.exe进程进行注入。

创建svchost.exe进程进行注入。

结束已有的notepad.exe进程,创建新的notepad.exe进程进行注入。

传播模块

该病毒通过U盘进行传播,会创建一个窗口用于监听USB的插入。


当有U盘插入后,会检测是否已存在感染的文件,进行删除,重新感染,并设置文件属性为隐藏。

持久化模块

拷贝自身到”C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobe\Reader_sl.exe”,并添加到注册表自启动。

网络模块

在calc.exe进程中解密如下url下载文件到受害主机的temp目录:

http://api.wipmania.com.selfmg.ru/api.gif

http://api.wipmania.com.lotus5.ru/api.gif

http://api.wipmania.com.wipmania.ru/LkwAxD.gif

http://api.wipmania.com.lotys.ru/vJoJAi.gif

http://api.wipmania.com.bwats.ru/OfjTMe.gif

http://api.wipmania.com.stcus.ru/apSPhv.gif

http://api.wipmania.com.cmoen.ru/zkmcHM.gif

http://api.wipmania.com.artbcon3.ru/frfLeC.gif

http://api.wipmania.com.yeloto.ru/zwFMwD.gif

在notepad.exe进程中解密出如下域名:

连接C&C端获取指令。

防护建议

病毒检测查杀

1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

2、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 病毒防御

1、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁;

2、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

3、最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/paper/218090.html
如有侵权请联系:admin#unsafe.sh