05月11, 2015

進撃のRombertik

近日,Cisco在其官方博客中发布了了一篇关于Rombertic病毒的分析报告——《Threat Spotlight: Rombertik – Gazing Past the Smoke, Mirrors, and Trapdoors》。而几乎在同一时间,360安全响应中心也捕捉到了同一家族的木马,经比对后发现,我们捕获到的同类型木马中还存在着这一类型木马的进阶版。

1.木马的特性

经过多年的计算机安全科普,很多用户已经学会了对exe文件提高警惕,所以这一家族的木马大多伪装成Windows系统屏幕保护程序(.scr),并在图标上进行伪装,让用户误认为是一个普通的文档文件,比如如下这个:

Rombertik变种图标

此类木马多以VB.NET和Delphi语言编写,并有部分木马样本进行了二进制加密处理。

2.木马的执行

Rombertik木马执行后,会先判断自己的启动参数。如果直接是被用户双击启动的,则以/S为参数重新启动自身。010启动参数

之后,木马会通过向“启动”目录下写VBS脚本——指向木马同目录下批处理文件——最后再指向木马本体的方式,间接的将自己加入启动项中。

开机启动

同时,此类木马会检测自己当前是否正被分析,如果确认自己正处于被分析的状态,则会进行一系列的破坏行为来阻止分析——这些都已经是Cisco报告中提到的,就不再赘述了。

360的宗旨一贯是用户至上,所以我们更关心的并不是木马在分析人员的机器上呈现一种怎样的状态,而是木马在用户机器上,是怎样的。

根据Cisco的报告,这是一个窃取用户信息的木马,有些类似于我们经常说的“盗号木马”,但盗取的数据会更多。而我们捕获的此类样本中,却发现了具有初步远控功能的此类木马的同族变种。

3.木马的变型

根据我们的分析,Rombertik的同族变种已经具有了下载shellcode到本地并执行的功能。

shellcode_downloader

这就意味着样本的具体功能已经不再局限于本地代码中写死的这些,而可以随时通过服务端修改含有shellcode的bin文件的方式进行修改。比如——打开一个进程并注入进去:

获取winlogon句柄

进而,我们还惊讶的发现这一类样本中还出现了发起HTTP轮询的样本

HTTP轮询

这意味着一个盗取信息的木马,通过一个简单的演变,已经具有远程控制的一些初步功能——它已经可以通过轮询的方式,等待远程指令,并进行进一步的操作了。

4.HTTP远控

说到这里,不难发现Rombertik已经的同族变种已经不再局限于盗取用户信息的地步了,而是再像更强的功能和更强的控制力演变。而一个HTTP远控则会是Rombertik的一个发展方向。

谈到HTTP远控,不禁想起了我们之前分析过的《VBS远控木马》。显然,HTTP远控已经不是第一次见了。而从近期360捕捉到的活跃恶意样本数据中抽取的远控协议类型进行分析来看,HTTP远控的比重虽有上扬,但依然是一个很小众的分支(而其中Rombertik族系的远控更是少的可以忽略不计)。

远控协议比例这当然是因为HTTP协议的特性导致的:

其一,HTTP协议本身就是应用层协议,已经有了相对完善的功能性。从设计之初,HTTP协议就是用于客户端从服务端获取数据或向服务端推送数据。而反向接受服务端指令,虽然功能上完全没问题,但灵活度并没有直接基于TCP或UDP的自定义协议来的那么高。

其二,HTTP协议本身已经有了一套相对复杂的结构,数据传输量会相对较大。

但上面也说了,虽然占比很小,但总数量还是在上升,因为HTTP远控的优势也是比较明显的:

其一,成熟的协议意味着成熟的应用和库。木马网络部分如果用HTTP实现,其代码编写门槛相对于直接发起Socket连接是要低的。

其二,防火墙的穿透性更强:很多企业都会在公司网络的出口处假设防火墙,用于安全防护,安全策略较强的公司甚至会进行非白即黑的拦截策略——只放行一些最常用的网络协议,而将其他所有未知类型的网络协议组织掉。但无论如何HTTP都是一种最常用的网络协议。几乎不会有哪个防火墙不允许HTTP协议的访问——而一个一个的拦截恶意域名,不禁成本高,而且有滞后性。

HTTP穿透防火墙

5.从Rombertik看木马发展趋势

木马病毒发展,永远是和安全防护技术的发展相伴的,道高一尺而魔高一丈——永远不会停歇。随着国内乃至全球的安全防护水平越来越高,木马病毒的趋势也非常明显:

1) 隐蔽性。这里的隐蔽性已经不再是木马病毒初期所具备的“对人”的隐蔽性,而是渐渐变为对安全检测程序的隐蔽性——任何动作都尽可能的模拟成为一个正常的程序,企图逃过安全检测。

2) 云控多功能性。曾几何时,我们还在讨论什么是木马、什么是蠕虫、什么是远控、什么是病毒……但现在界限正在逐渐的模糊,恶意程序作者为了追求利益的最大化,一定是将自己的程序尽可能的实现更多的功能。而结合越来越普及的网络,多功能性通过云控得到了近乎完美的实现——结合在线下载shellcode,随心所欲的变化功能。

木马在变,安全防护技术当然也不能落后,360更是会专注于安全领域,尽最大的努力为大家提供全方位的安全保障。

本文链接:http://blogs.360.cn/post/advanced_rombertik.html

-- EOF --

Comments