日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
以歐洲組織為目標(biāo)的基于Python的惡意軟件家族PWOBot

0x00 前言

我們發(fā)現(xiàn)了一個(gè)叫做“PWOBot”的惡意軟件家族,這個(gè)惡意軟件家族相當(dāng)?shù)莫?dú)特,因?yàn)樗耆怯肞ython編寫(xiě)的,并通過(guò)PyInstaller進(jìn)行編譯來(lái)生成一個(gè)windows下的可執(zhí)行程序。這個(gè)惡意軟件被證實(shí)影響了大量的歐洲組織,特別是在波蘭。此外,這個(gè)惡意軟件只通過(guò)一個(gè)流行的波蘭文件共享web服務(wù)來(lái)傳播的。

這個(gè)惡意軟件本身提供了豐富的功能,包括能夠下載和執(zhí)行文件,執(zhí)行Python代碼,記錄鍵盤(pán)輸入,生成一個(gè)HTTP服務(wù)器,并且通過(guò)受害者的CPU和GPU挖掘比特幣。

現(xiàn)在至少有PWOBot的12個(gè)變種,并且這個(gè)惡意軟件早在2013年末的攻擊中就開(kāi)始活躍了。更多最近的影響歐洲組織的攻擊是在2015年中到年末。

0x01 目標(biāo)

在過(guò)去的半年中,我們發(fā)現(xiàn)PWOBot影響了以下的組織:

波蘭國(guó)家研究機(jī)構(gòu)

波蘭航運(yùn)公司

大型的波蘭零售商

波蘭信息技術(shù)公司

丹麥建筑公司

法國(guó)光學(xué)設(shè)備提供商

大部分PWOBot的樣本都是從chomikuj.pl(波蘭流行的文件共享web服務(wù))上下載的。下面的這些奇特的URL被發(fā)現(xiàn)提供了PWOBot的副本:

 
 
 
 
    
  
  
  
  
  1. s6216.chomikuj[.]pl/File.aspx?e=Pdd9AAxFcKmWlkqPtbpUrzfDq5_SUJBOz 
    2.   
  
  
  
  2. s6102.chomikuj[.]pl/File.aspx?e=Hc4mp1AqJcyitgKbZvYM4th0XwQiVsQDW 
    3.   
  
  
  
  3. s8512.chomikuj[.]pl/File.aspx?e=h6v10uIP1Z1mX2szQLTMUIoAmU3RcW5tv 
    4.   
  
  
  
  4. s6429.chomikuj[.]pl/File.aspx?e=LyhX9kLrkmkrrRDIf6vq7Vs8vFNhqHONt 
    5.   
  
  
  
  5. s5983.chomikuj[.]pl/File.aspx?e=b5Xyy93_GHxrgApU8YJXJlOUXWxjXgW2w 
    6.   
  
  
  
  6. s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3FdOGBKSSUQhl 
    7.   
  
  
  
  7. s6701.chomikuj[.]pl/File.aspx?e=tx0a8KUhx57K8u_LPZDAH18ib-ehvFlZl 
    8.   
  
  
  
  8. s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3ISlGKLuMnr9H 
    9.   
  
  
  
  9. s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3OFFAuDc0M9m0 
    10.   
  
  
  
  10. s6179.chomikuj[.]pl/File.aspx?e=Want-FTh0vz6www2xalnT1Nk6O_Wc6huR 
    11.   
  
  
  
  11. s6424.chomikuj[.]pl/File.aspx?e=o_4Gk0x3F9FWxSDo4JWYuvGXDCsbytZMY 
    12.

另外,有一次這個(gè)惡意軟件被從http://108.61.167.105/favicon.png。這個(gè)IP地址是和tracking.huijang.com有聯(lián)系的,而這個(gè)域名被相當(dāng)數(shù)量的PWOBot所使用。

下面的這些文件名字被發(fā)現(xiàn)用來(lái)傳播PWOBot:

favicon.png

Quick PDF to Word 3.0.exe

XoristDecryptor 2.3.19.0 full ver.exe

Easy Barcode Creator 2.2.6.exe

Kingston Format Utility 1.0.3.0.exe

uCertify 1Z0-146 Oracle Database 8.05.05 Premium.exe

Six Sigma Toolbox 1.0.122.exe

Fizjologia sportu. Krtkie wykady.exe [Physiology of sports. Short lectures.exe]

正如我們能從使用的文件名中所看到的,相當(dāng)一部分的PWOBot樣本偽裝成了各種各樣的軟件。在某些情況下,波蘭語(yǔ)被認(rèn)為是更容易被當(dāng)成目標(biāo)的文件名。

目前尚不清楚這個(gè)惡意軟件最初是怎樣被發(fā)送到終端用戶(hù)的。我們可以根據(jù)文件名作出推論,這個(gè)惡意軟件很可能是在終端用戶(hù)下載其他軟件時(shí)被傳播的。因此,釣魚(yú)攻擊可能被用來(lái)引誘受害者下載這些文件。

0x02 惡意軟件分析

正如最開(kāi)始提到的,PWOBot是完全用Python編寫(xiě)的。攻擊者利用PyInstaller來(lái)把Python代碼轉(zhuǎn)換成Windows可執(zhí)行程序。因此,因?yàn)镻ython被使用了,所以它可以很簡(jiǎn)單的被移植到其他操作系統(tǒng),比如Linux或者OSX。

除了最初的運(yùn)行之外,PWOBot會(huì)首先卸載掉它可能會(huì)發(fā)現(xiàn)的之前的PWOBot的版本。它會(huì)查詢(xún)Run注冊(cè)表項(xiàng),判斷是否存在之前的版本。主要的版本針對(duì)注冊(cè)表項(xiàng)Run使用了一種pwo[VERSION]的格式,在這里[version]代表的是PWOBot的版本號(hào)。

圖一 PWOBot uninstalling previous versions

在所有之前的版本被卸載之后,PWOBot會(huì)進(jìn)行自我安裝并創(chuàng)建一個(gè)它自己的可執(zhí)行文件的副本,存在以下位置:

%HOMEPATH%/pwo[version]

接下來(lái)它會(huì)設(shè)置以下的注冊(cè)表鍵值來(lái)把它指向到新拷貝過(guò)來(lái)的可執(zhí)行文件上:

HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/pwo[VERSION]

如果這是這個(gè)惡意軟件第一次運(yùn)行,PWOBot會(huì)在一個(gè)新的進(jìn)程里執(zhí)行新復(fù)制的文件。

在安裝完畢之后,PWOBot會(huì)對(duì)各種各樣的鍵盤(pán)和鼠標(biāo)事件進(jìn)行HOOK,這會(huì)在接下來(lái)的鍵盤(pán)記錄活動(dòng)中被用到。PWOBot是用模塊化的風(fēng)格編寫(xiě)的,允許攻擊者在運(yùn)行時(shí)包含各種模塊。基于對(duì)當(dāng)前已有的樣本的分析,以下的服務(wù)被發(fā)現(xiàn)帶有PWOBot:

PWOLauncher : 下載/執(zhí)行文件,或者執(zhí)行本地文件
PWOHTTPD : 在受害者機(jī)器上大量生成HTTP服務(wù)器
PWOKeyLogger : 在受害者機(jī)器上進(jìn)行鍵盤(pán)記錄
PWOMiner : 使用受害者機(jī)器的CPU/GPU挖掘比特幣
PWOPyExec : 運(yùn)行Python代碼
PWOQuery : 查詢(xún)遠(yuǎn)程URL并返回結(jié)果

PWOBot有兩個(gè)配置文件,其中一指定了這個(gè)惡意軟件的各種配置,另一個(gè)確定了PWOBot在執(zhí)行的時(shí)候應(yīng)該連接哪個(gè)遠(yuǎn)程服務(wù)器。

圖二 PWOBot settings configuration

圖三 PWOBot remote server configuration

正如在配置圖中所可以看到的,PWOBot包含了很多Windows的可執(zhí)行文件,這些可執(zhí)行文件是在攻擊者使用PyInstaller來(lái)對(duì)代碼進(jìn)行編譯的時(shí)候包含進(jìn)去的。這些可執(zhí)行文件被用來(lái)進(jìn)行比特幣挖掘以及利用TOR發(fā)送代理服務(wù)器請(qǐng)求。比特幣挖掘是minerd和cgminer的一個(gè)編譯好的版本。這些文件分別被用來(lái)作為CPU和GPU的比特幣挖掘。

PWOBot也使用了Tor匿名網(wǎng)絡(luò)來(lái)對(duì)攻擊者的遠(yuǎn)程服務(wù)器的通信進(jìn)行加密。PWOBot使用了一個(gè)Python字典作為網(wǎng)絡(luò)協(xié)議。每一個(gè)特定的時(shí)間段PWOBot都會(huì)發(fā)送一段通知信息到遠(yuǎn)程服務(wù)器上去。這樣的通知消息的例子可以如下所示:

 
 
 
 
    
  
  
  
  
    2.   
  
  
  
  2.   1: '16ea15e51a413f38c7e3bdb456585e3c',  
    3.   
  
  
  
  3.   3: 6,  
    4.   
  
  
  
  4.   4: '[REDACTED-USERNAME]',  
    5.   
  
  
  
  5.   5: True,  
    6.   
  
  
  
  6.   6: { 
    7.   
  
  
  
  7.        1: 'Darwin',  
    8.   
  
  
  
  8.        2: 'PANHOSTNAME',  
    9.   
  
  
  
  9.        3: '14.5.0',  
    10.   
  
  
  
  10.        4: 'Darwin Kernel Version 14.5.0: Tue Sep  1 21:23:09 PDT 2015; root:xnu-2782.50.1~1/RELEASE_X86_64',  
    11.   
  
  
  
  11.        5: 'x86_64',  
    12.   
  
  
  
  12.        6: 'i386',  
    13.   
  
  
  
  13.        7: 8 
    14.   
  
  
  
  14.      },  
    15.   
  
  
  
  15.   7: { 
    16.   
  
  
  
  16.        1: 'en_US',  
    17.   
  
  
  
  17.        2: 'UTF-8',  
    18.   
  
  
  
  18.        3: 25200 
    19.   
  
  
  
  19.      } 
    20.   
  
  
  
    21.

針對(duì)上面的例子中列舉的各個(gè)數(shù)據(jù)都有不同的枚舉類(lèi)型。替換之后我們可以看到更完整的被發(fā)送的數(shù)據(jù)。

 
 
 
 
    
  
  
  
  
    2.   
  
  
  
  2.   BOT_ID: '16ea15e51a413f38c7e3bdb456585e3c',  
    3.   
  
  
  
  3.   VERSION: 6,  
    4.   
  
  
  
  4.   USER: '[REDACTED-USERNAME]',  
    5.   
  
  
  
  5.   IS_ADMIN: True,  
    6.   
  
  
  
  6.   PLATFORM: { 
    7.   
  
  
  
  7.        SYSTEM: 'Darwin',  
    8.   
  
  
  
  8.        NODE: 'PANHOSTNAME',  
    9.   
  
  
  
  9.        RELEASE: '14.5.0',  
    10.   
  
  
  
  10.        VERSION: 'Darwin Kernel Version 14.5.0: Tue Sep  1 21:23:09 PDT 2015; root:xnu-2782.50.1~1/RELEASE_X86_64',  
    11.   
  
  
  
  11.        MACHINE: 'x86_64',  
    12.   
  
  
  
  12.        PROCESSOR: 'i386',  
    13.   
  
  
  
  13.        CORES: 8 
    14.   
  
  
  
  14.      },  
    15.   
  
  
  
  15.   LOCALE: { 
    16.   
  
  
  
  16.        LANGUAGE: 'en_US',  
    17.   
  
  
  
  17.        ENCODING: 'UTF-8',  
    18.   
  
  
  
  18.        TIMEZONE: 25200 
    19.   
  
  
  
  19.      } 
    20.   
  
  
  
    21.

在通知被發(fā)送之后,攻擊者可能會(huì)選擇提供一條指令來(lái)讓PWOBot來(lái)執(zhí)行之前定義好的其中一項(xiàng)服務(wù)。上述行為的結(jié)果會(huì)在隨后使用相同的格式上傳給攻擊者。

總的來(lái)說(shuō),基于Palo Alto Networks的Unit 42發(fā)現(xiàn)的最近的版本,目前存在12個(gè)PWOBot的變種。在這12個(gè)版本之中我們已經(jīng)在網(wǎng)絡(luò)上發(fā)現(xiàn)了其中的第5、6、7、9、10和12個(gè)版本。不同的版本之間的差別很小,以及存在不同的性能上的區(qū)別。

0x03 結(jié)論

PWOBot作為一個(gè)惡意軟件家族是非常有意思的,因?yàn)樗峭耆胮ython寫(xiě)的。盡管在歷史上它只影響過(guò)windows平臺(tái),但是因?yàn)樗牡讓拥拇a是跨平臺(tái)的,它可以很簡(jiǎn)單的被移植到Linux和OSX上去。這個(gè)事實(shí)以及它的模塊化的設(shè)計(jì),讓PWOBot成為一個(gè)潛在的重要的威脅。

這個(gè)惡意軟件家族在之前并沒(méi)有被公開(kāi)的披露過(guò)。當(dāng)前它被證實(shí)影響了一些歐洲的組織。

Palo Alto Networks的用戶(hù)從以下的幾方面被保護(hù):

所有的PWOBot樣本都被WildFire服務(wù)恰當(dāng)?shù)呐卸閻阂獾摹?/p>

和PWOBot相關(guān)的域名被劃分為惡意的。

AutoFocus用戶(hù)可以使用PWOBot tag來(lái)監(jiān)控這次威脅。

相關(guān)的文件:

http://www.pyinstaller.org/

https://www.torproject.org/

https://github.com/pan-unit42/iocs/tree/master/pwobot/hashes.txt

原文:http://researchcenter.paloaltonetworks.com/2016/04/unit42-python-based-pwobot-targets-european-organizations/


分享標(biāo)題:以歐洲組織為目標(biāo)的基于Python的惡意軟件家族PWOBot
本文鏈接:http://www.5511xx.com/article/cocsscc.html