CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络,该恶意软件由Downloader和真正的Bot两部分组成,通过一些规避技术躲避检测分析,隐藏自己的恶意行为。
在调查暗网恶意代码时,ZLab研究员发现了“NetflixAccountGenerator.exe”,这个标榜可以免费创建一个Netflix服务的高级账户,但下载安装之后它并没有这样做,而是安装了一个BOT。
恶意软件的研究人员分析这个exe文件,了解到该威胁程序首次上传在9月20 日,可能是该程序编写者为了测试它的隐藏能力。该恶意程序为一个活僵尸网络,研究人员称之为Wonder botnet ,其命令和控制服务隐藏在一个网站后面,这个网站为另一个网站的镜像。
图1 左图为虚假页面,右图为原始页面
研究人员证实虚假的页面上“support.com”的链接为“wiknet.wikaba.com”,指向僵尸网络C2C的前端,有趣的是它的每一个链接都指向原始页面,研究人员点击一个链接后,被重定向到“support.com”上相应的页面。研究人员还发现了一些隐藏路径,其中包含bots使用的信息和命令。
该恶意软件由两部分组成:
一个仅用于下载和执行真正bot代码的.Net执行文件,并上传“pastebin.com/raw/E8ye2hvM”。
文件名称:wonder.exe
表1 Wonder下载者的属性信息
下载者的组成文件信息:
当它被下载执行后,会感染宿主,设置其持久性机制,并按照图中的流程开始其恶意行为。
Payload/Bot文件名称:Payload.exe
表2 Wonder Bot的属性信息
Wonder Bot的组成文件信息:
通过使用一些静态分析工具,如PEiD,了解该恶意程序是基于.NET Framework,使用C#编写的。
整个感染过程从Wonder.exe文件执行成功后开始,它是有效负载的下载器,它会尝试连接“pastebin.com”来检索已编码的有效负载,如果机器未联网, Wonder.exe就会出现崩溃,如下图。
图2 Wonder.exe崩溃
网络连接正常的情况下,这个下载者会尝试访问https://pastebin.com/raw/E8ye2hvM 来执行 Bot 负载。负载开始后会首先尝试解析域“wiknet.mooo.com”,由于该域名未注册,在失败后再成功解析域“wiknet.wikaba.com ”到 IP “104.200.67.190”,研究人员分析该IP指向 C2C ,访问这个网站出现上面图1中的虚假“ support.com”页面。
图3 DNS请求分析
通过对其行为的分析发现存在以下可疑活动:
(1) 如上图中所示的DNS请求。
(2) 在“AppData/Local/ Temp”路径中创建一个文件,可能用于支持bot操作。
(3) 持久性机制,添加自身链接到“C:\ProgramData\Microsoft\Windows\StartMenu\Programs\ Startup”。
Bot和C2C之间的所有通信都在TLSv1层上,所以无法看到。
和其它的恶意软件一样,该恶意软件也使用一些规避技术来躲避检测和分析,它通过查找一些虚拟库,来隐藏自己的恶意行为,如下图。
图4 Wonder Bot的规避行为分析
Wonder恶意软件控制流程如下图所示:
图5 Wonder Bot的行为流程图
由于它的bot性质,一旦安装在受害者机器上,就必须创建一个ID来标识自己进入僵尸网络,该ID 使用MD5算法加密,并向它添加一个静态字符串。
图6 Bot ID创建
通过进一步分析,得到Bot接收C2C的一些命令,如下表所示:
表3 Wonder Bot 的命令列表
C2C通过“BLOCK”命令结束恶意软件,这个命令会在“AppData/Local/Temp”路径下创建一个新文件(“ Block~” +BOT_ID),该文件也可用于避免感染。关于该恶意软件的YaraRules及详细分析可查看ZLab的分析报告,下载链接为:
http://csecybsec.com/download/zlab/Wonder_botnet_ZLab_report.pdf