正袭击俄罗斯工业部门的木马Crane分析【转】

最近出现了一个针对俄罗斯工业部门的恶意代码Crane。MalwareBenchmark的MX第一时间对其进行了分析。

 

该Windows木马被安全公司命名为BackDoor.Crane.1,攻击目标包括:两家专门从事起重机和辅助设备的大公司。当发现恶意软件时,它已经在一段时间内从受感染的系统窃取机密信息。

 

BackDoor.Crane一直被用来窃取财务文件,协议和内部业务通信,这使得专家认为此次攻击是“不道德的对手”蓄谋的企业间谍活动的一部分。

 

一旦感染设备,恶意软件就会连接其命令和控制(C&C)服务器并等待指示。攻击者可以安装各种模块,每个模块用于执行特定任务,例如在命令提示符中执行命令,从指定链接下载文件,通过FTP或HTTP上传文件以及截图。

 

Doctor Web指出,一些模块还下载了几个基于Python的木马。其中一个为Python.BackDoor.Crane.1,可以执行与BackDoor.Crane相同的命令,但它也可以从指定的路径获取文件和文件夹的列表,删除文件,终止进程,复制文件和终止本身。第二个恶意软件,Python.BackDoor.Crane.2,可以在受感染的设备上打开一个shell。

 

恶意软件开发人员错误地留下的“关于”窗口表明,BackDoor.Crane的第一个版本是在2015年推出的。但是,Doctor Web指出,其研究人员分析的样本是在2016年4月编译的。安全公司已经发布了一个详细报告恶意软件如何工作以及它在受感染系统上留下的痕迹。

 

FILE NAME: Bot.exe

MD5: 361c983b94b3e07a3b509f0b9b34cad7

SHA1: afecbbc9d6dbc326fa448674b7b252c05e3c0c9b

FILE SIZE: 337408 bytes

FILE TYPE: PE32 executable (GUI) Intel 80386, for MS Windows

 

Sections: 5  .text  .rdata  .data  .rsrc  .reloc

PDB File Name : C:\Users\User\Desktop\14\bin\Bot.pdb

 

关键字符串信息:

connection_aborted

connection_refused

connection_reset

network_down

network_reset

not_connected

not_a_socket

not_connected

not_a_socket

too many files open in system

too many links

too many symbolic link levels

C:\Users\User\Desktop\14\bin\Bot.pdb

 

文件操作

 

C:\WINDOWS\system32\msctfime.ime
C:\Documents and Settings\All Users\yandex_service\connfig.json
C:\DOCUME~1\User\LOCALS~1\Temp\modules\*Module.dll
C:\Device\Tcp6

 

注册表操作:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF
HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InProcServer32
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName
ActiveComputerName

 

网络信息:

 

IP:78.46.215.122

DOMAIN:digi-serv.be

 

网络操作

 

InternetConnect–WinInet函数系列,用于Internet的连接,连接的服务器:digi-serv.be,连接端口:80;旦和服务器的连接已经建立,我们打开了想要的文件。

 

HttpOpenRequest和HttpSendRequest一起工作打开文件。

 

HttpOpenRequest去创建个请求句柄并且把参数存储在句柄中。

 

HttpSendRequest把请求参数送到HTTP服务器。

HttpQueryInfoA:用来查询HTTP请求信息。

 

InternetReadFile:从一个由InternetOpenUrl,FtpOpenFile, 或HttpOpenRequest函数打开的句柄中读取数据。


文件操作:

 

根据文件名查找文件。该函数到一个文件夹(包括子文件夹)去搜索指定文件 如果要使用附加属性去搜索文件的话 可以使用FindFirstFileEx函数。由这个函数返回的句柄可以作为一个参数用于FindNextFile函数。这样一来,就可以方便的枚举出与lpFileName参数指定的文件名相符的所有文件。


消息传递

 

‘CreateWindowEx:该函数创建一个具有扩展风格的重叠式窗口.弹出式窗口或子窗口。

 

‘TranslateMessage:该函数将虚拟键消息转换为字符消息.字符消息被寄送到调用线程的消息队列里,当下一次线程调用函数GetMessage或PeekMessage时被读出。

 

‘DispatchMessage:该函数调度一个消息给窗口程序.通常调度从GetMessage取得的消息。消息被调度到的窗口程序即是MainProc()函数’GetMessage:该函数从调用线程的消息队列里取得一个消息并将其放于指定的结构。此函数可取得与指定窗口联系的消息和由PostThreadMesssge寄送的线程消息.此函数接收一定范围的消息值。

进程图:

此条目发表在安全资讯, 未分类分类目录。将固定链接加入收藏夹。