来自 DDOS 2022-05-14 13:40 的文章

cdn防御_防东高铁_打不死

cdn防御_防东高铁_打不死

银行特洛伊木马Carberp:墓志铭?

对于东欧的网络罪犯来说,春天的开始似乎是一年中不成功的时期。最近有消息称,乌克兰安全局与俄罗斯联邦联邦安全局(FSB)在网络上联合合作,瓦解了一批黑客。这些黑客应对臭名昭著的Carberp特洛伊木马负责。

根据最近的信息,我们可以说Carberp是一种主流特洛伊木马,它监视受感染计算机的环境并利用远程银行系统进行攻击。这是一个强大的模块化恶意软件,通过下载动态库(插件)来提高其功能。它不仅成功地从受害者的银行账户中攫取了资金,而且引起了工业界和学术界安全专家的注意(一篇论文的例子)。因此,软件真的可以防御ddos嘛,考虑到系统入侵、多态外层保护和特洛伊木马持久性等方法,web上有大量参考资料。我们将尝试填补图片中的一些空白。

Carberp大约在2010年秋季开始进展。2011年春季晚些时候,就HTTP请求的形式而言,它分为两个主要分支。第一个使用RC4密码对与C&C交换的数据进行加密,并以以下形式发布请求:

这一个随着2012年3月网络犯罪分子被捕而消失。第二个基于RC2密码,它与avast产生了点击率!在过去的几周里,野生的盾牌。让我们看看它是如何与C&C交流的。

通信协议

一个典型的HTTP帖子看起来像

,内容的形式如下:

其中"kfq"是一个随机生成的字符串,与等号和编码消息连接在一起。编码消息中的不安全字符用百分号转义。让我们在解码后编写这个特定示例:

并将第一个相等符号与最后4个符号(忽略尾部相等符号)连接后的前4个符号提取为字符串。它用作RC2解密的加密salt,并表示为szSalt,即szSalt='u/FPbTeN'。然后,正确的加密消息等于(表示为szEncMsg):

在服务器端解密后,它会像"botuid=wtfuck0780E8ABE9244C0B4"一样读取,其中"wtfuck"是特洛伊木马主体中加密的常量,"780E8ABE9244C0B4"是受害者环境的特定散列。Carberp的每个样本都包含另一个常数-一个密钥,表示为szKey,例如szKey='mt19YrKTaSH3kCVA'。

内容的解密在以下步骤中执行:

步骤1)提取正确的加密消息和变量szSalt。"+"到">"的转换,"/"到"?"

步骤2)将szEncMsg解码到缓冲区au8EncMsg_Debase64

步骤3)如果下载的内容是加密的可执行文件或配置文件,则使用RC2将缓冲区au8EncMsg_Debase64解密到缓冲区au8EncMsg_Debase64_DeRC2然后还有另一个步骤:

步骤4)使用Carberp早期已经出现的自定义算法decryptBJB(..)解密缓冲区au8EncMsg_Debase64_DeRC2。标题中有一个神奇的字符串"BJB",后面是一个密钥长度、一个密钥字符串和一个主加密数据。

C&C的早期请求之一是希望获得可用的插件。成功连接后,插件列表以加密形式保存在"%AppData\\wndsksi.inf"中。忽略前20个字节,使用上述解密BJB算法和密钥"GDlet64E"可以得到类似的结果:

此列表仅显示可用于bot的插件子集。下图估计了可用插件的演变及其首次出现的时间:

插件的详细分析

早期开发阶段的插件众所周知(miniav.plug、stopav.plug、passw.plug),防御ddos的手段有哪些,黄色的插件在机器人的最新版本中似乎已经过时。名为"HTTP.referer"和"HTTP.referer"的函数列表中只包含各种域名。插件的名称表明它可能参与分布式拒绝服务攻击。

橙色组包含cyberplat.plug、sb.plug(从早期的sbtest.plug版本演变而来)和ifobs.plug,它们试图利用cyberplat、ifobs和Sberbank支付处理系统进行攻击。上个月,在Carberp模块中实现了一个名为AgentX.jar的java归档文件的下载以及一个加密数据文件rt.ini(两个解密步骤,其中一个是密钥为"123%esr2#221#"的RC4)。它们被放入名为IBank的电子银行系统的应用程序目录中。简单的ini文件可能看起来像(注意机器人的C&C服务器):

该归档文件是以前使用的归档文件的继承者,它可以动态地修补名为Agent.jar、AgentPassive.jar和AgentKP.jar的Java代码。他们都有可能与受害者的支付处理进行欺诈性互动。创建了一个文本文档uid.txt,其中包含正在运行的bot实例的id,并声明存在感染迹象。

浅蓝色组表示增强特洛伊木马远程间谍活动的实用程序。文件vnc.plug是一个可执行文件,可通过远程帧缓冲协议(RFB)远程访问受感染的计算机。另外,,它包含一个嵌入式库inj_x86.dll(分别为inj_x64.dll),防御cc免费工具,该库提供用户模式的rootkit功能,屏蔽受害者桌面上远程启动的进程:

绿色组是关于插件bot.plug,它以动态链接库导出三个函数:SetBotParameter、Start和SFFD(后者像主模块一样将自己的代码注入资源管理器)。它由一个名为Bot builder的生成器生成: