一款新的基于Tor的恶意软件 – ChewBacca


发布人:admin分类:网络安全浏览量:29发布时间:2017-12-12


    与金融木马有关的网络犯罪近几个月日益攀升。而基于Tor的木马仍是网络罪犯们的最爱,这种木马能够隐藏他们的肉鸡,还能隐藏他们的指挥与控制(Command and control)僵尸网络的真实地址,以免被安全研究人员发现。
    来自卡巴斯基实验室的安全研究人员发现了一款新的基于Tor的银行木马,并把它命名为“ChewBacca” ("Trojan.Win32.Fsysna.fej")。这款木马窃取银行密码,并且建立在Tor的.onion域名上。
    “在多数的案例中,这种措施会保护服务器的位置和服务器拥有者的身份。但是这种方法会有许多缺点以至于罪犯们不想把他们的服务器放置在Tor中。由于其覆盖和结构,Tor可能会很慢,甚至可能会有连接超时的情况。大量的僵尸网络活动可能会影响整个网络,正如我们在Mevade的案例中看到的,使得研究人员轻易地找到他们。”



木马介绍
    ChewBacca不是第一个使用Tor网络以确保匿名性的,最近发现的一款Zeus木马的变体也是使用了Tor网络并且针对64位系统的。
这款木马(MD5: 21f8b9d9a6fa3a0cd3a3f0644636bf09)是一款PE32可执行程序,通过Free Pascal 2.7.1编译,在5MB的体积中还包含Tor 0.2.3.25。
    在受害者Windows系统中执行之后,它会在开机运行目录下放置spoolsv.exe程序,它还会在用户的Temp目录放置一个Tor 0.2.3.25,以默认设置运行在"localhost:9050",并通过http://ekiga.net/ip查询受害主机的IP地址。接着,木马会记录所有键盘输入,写入临时文件夹下由木马创建的的system.log文件,并通过Tor匿名网络将数据传回僵尸网络控制台。
    键盘记录器调用SetWindowsHookExA-API函数,hook类型WH_KEYBOARD_LL,system.log文件通过[url]/sendlog.php上传。
    这款木马还会列出所有运行的进程并读取他们的内存信息。通过两个不同的正则表达式获取信息。如图:


    这些数据使用Exfiltrate函数传输,上传至[url]/recvdata.php。这款软件还包含了一个用于卸载的名为“P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY”的函数。

指挥与控制服务器
    根据研究人员的调查,指挥与控制(Command and control)服务器是使用LAMP开发的,基于Linux, Apache, MySQL and PHP。
    “Chewbacca目前没有像其他工具如Zeus一样,在公共(地下)论坛公开。可能这款软件仍在开发中,或者是仅仅是私下使用或共享。”
    在僵尸网络的指挥与控制服务器的登录页面,还有一张ChewBacca的图片,出自《星球大战》系列电影。

Via Securelist & THN
JohnChu 编辑整理


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21344187(PV) 页面执行时间:64.013(MS)
  • xml
  • 网站地图