返回新闻列表

恶意程序Miniduke强势归来

        卡巴斯基实验室研究员发现,旧版Miniduke植入体自2013年起仍然存在,并在活跃活动中攻击政府与其他组织。此外,恶意程序Miniduke的新平台BotGenStudio可能不仅为高级持续性威胁攻击者所用,还被执法机构与传统罪犯使用。

        尽管在卡巴斯基实验室与其合作伙伴CrySyS Lab去年发布声明后,Miniduke高级持续性威胁的参与者停止了此项活动,至少活动密集度有所降低,但是2014年初他们再次全力袭来。与此同时,我们也注意到了攻击者行动方式与所用工具的改变。

“新型”Miniduke后门程序

        继2013年被曝光之后,Miniduke的背后参与者开始使用另一种能够窃取多种信息的定制后门程序。该恶意程序模仿流行应用的文件信息、标识,甚至文件大小,并在后台运行。

        “新型”Miniduke后门程序(又名TinyBaron或CosmicDuke)的编写主要使用了一种被称为BotGenStudio的可定制构架。而BotGenStudio的灵活性能够在创建僵尸程序之时使组件运行或停止运行。这些组件可划分为三组:

        1. 持久性组件——Miniduke/CosmicDuke可以通过Windows任务调度程序启动运行。Windows任务调度程序是一种定制服务的二进制算法,会按照特殊注册表的形式设置新进程,或在用户离开而屏保被激活之时启动运行。

        2. 信息窃取组件——该恶意程序可以窃取一系列信息,包括基于拓展名和文件名关键词的文件,如*.exe、*.ndb、*.mp3、*.avi、*.ra、*.docx、*.url、*.xlsx、*.pptx、*psw*、*pass*、*login*、*admin*、*vpn、*.jpg、*.txt、*.lnk、*.dll、*.tmp等。

        3. 数据输出组件——该恶意软件使用多个网络连接器输出数据,包括通过FTP和三种HTTP通信机制的不同变体上传数据。

        MiniDuke另一有趣的功能是存储输出数据。上传至C&C服务器的文件会被分为许多小份(约3Kb),并被压缩、加密,放置于一个容器中,再进行上传。太大的文件将会被置于若干个不同容器中分开上传。所有这些层面的附加进程确保只有极少数研究员能够获得原始数据。

独特的特点

        MiniDuke的所有受害者均会被指定一个不同的ID,从而能够将特定的更新推送给某一受害者。

        就自我保护而言,它使用一种令人费解的定制装入程序,会在执行过渡至有效负载之前占用大量CPU资源。如此一来,他们便阻止反恶意软件解决方案通过仿真器分析植入体和检测恶意功能。同时,这也加大了分析恶意软件的难度。

主要发现:

        C&C——双重目的。在分析过程中,卡巴斯基实验室的专家获取了其中一个CosmicDuke指令与控制服务器的副本。该服务器似乎不仅用于CosmicDuke参与者和受感染计算机间的通讯,还被犯罪团伙用于其他操作,包括劫持互联网中的其他服务器,以此收集一切可能指向潜在攻击目标的信息。为了达到这一目的,C&C配备了各种公开可用的劫持工具,并运用不同的引擎搜索网站中存在的漏洞,实施入侵。

        受害者。有趣的是,尽管旧版本Miniduke植入体大多以政府机构为攻击目标,新版CosmicDuke植入体却有所不同。除了政府机构以外,其受害者还包括外交组织、能源部门、电信运营商、军事承包商以及非法违禁物品交易者。

        我们分析了CosmicDuke和旧版Miniduke服务器。我们通过后者截获了一份受害者名单及其通讯国家。专家们由此发现,旧版Miniduke服务器使用者对澳大利亚、比利时、法国、德国、匈牙利、荷兰、西班牙、乌克兰及美国的受害者饶有兴趣。在上述国家中,至少有三个国家的受害者属于“政府组织”。

        通过分析其中一个CosmicDuke服务器,我们发现了一份始于2012年4月的受害者名单(139个单独的IP)。从地理分布和排名前十位的国家来看,这些受害者分别来自格鲁吉亚、俄罗斯、美国、英国、哈萨克斯坦、印度、白俄罗斯、塞浦路斯、乌克兰和立陶宛。攻击者也有意增加其在阿塞拜疆、希腊和乌克兰的攻击范围、扫描IP段与服务器。

        商业平台。我们所发现的大多数特殊受害者涉嫌非法违禁物品(如类固醇和荷尔蒙)交易。我们只在俄罗斯发现了此类受害者。

        “当我们听到高级持续性威胁时,通常会认为这是受某国家支持的网络间谍活动。但是我们此次看到了两个特例,这着实出人意料。一种可能性是,恶意软件Miniduke的平台BotGenStudio也可以作为一种所谓的“非法间谍”工具被使用,且与其它工具无异,如HackingTeam的远程控制系统(RCS)就被执法机构广泛使用。另一种可能性是,该平台仅供秘密使用,并被药品类企业购买,以此监视其竞争者”,卡巴斯基实验室全球研究与分析团队的首席安全分析员Vitaly Kamluk表示。

        属性和假象。尽管攻击者在某些区域使用了英语,表明其通晓这一语言,但是我们所发现的其它线索(如该恶意软件持续性组件内存段中的字符串)令专家相信攻击者的母语并非为英语。

        卡巴斯基实验室专家还发现,Miniduke/CosmicDuke攻击者的活动规律为一周一天,以周一至周五为其工作日。然而,他们常常周末也不收手。其活动时间似乎是从早6点(GMT)至晚7点。不过,大多数攻击发起于早6点至晚4点间。

        检测。卡巴斯基实验室的产品检测出了CosmicDuke后门程序,他们是Backdoor.Win32.CosmicDuke.gen和Backdoor.Win32.Generic。

        请阅读Securelist.com上的博客,了解更多信息。