CARBERP命令与控制服务器又被攻陷
CARBERP研究结果又再一次证明恶意软件作者更会隐藏自己和建立自己专用的秘密通讯管道。而且今天的机构们对处理这些问题是准备不足的,如同之前未侦测的泄漏了私密资料。
据称,Botnet从2010年年初就开始部署了,但直到去年九月前都避免被注意到。Malware Intelligence在2010年2月的报告指出新型CAB档案增加了专门用来盗取证书(“certificates”),密钥(“keys”)和银行凭证(“banking credentials”)的功能。
Trust Defender在去年10月报导CARBERP能够经由挂勾(“hooking”) Wininet.dll和USER32.DLL的输出函式表(“export table”)来控制网路流量。Seculert.com在今年2月初报导了如何生成专用的RC4密钥来加密窃取的资料。
不需要提高权限就可运作
CARBERP C&C服务器具备有可扩充功能的设计,可以入侵某一版本Windows上的多种应用程式。从第一次记录开始,CARBERP僵屍网路/傀儡网路 Botnet经由post /set/first.html传出了所有正在运行的程序(“processes”),然後透过post /set/plugs.html来要求套件(“Plug-ins)或是透过post /set/task.html来取得任务。
CARBERP还能够在使用者权限下运作,而不需要去更改注册表或系统档案。它利用了档案系统本身的功能去隐藏自己。CARBERP跟很多应用程式一样都会新增一个启动捷径,也可以假造网站,键盘侧录,并利用编码讯息来建立秘密通信管道。CARBERP可以经由找到联结不存在档案的程序而发现。
从C&C流量中的发现
一个CARBERP攻击的C&C服务器被置换成了只有登录连接但没有提示后续资讯交换的服务器。这个假CARBERP C&C服务器也没有使用IPv6地址,这可能是一个错误。跟解析IPv4位址的电脑比起来,绝大部分的受害者电脑都会尝试去解析IPv6位址。而且之後的HTTP连接也很少。从这一点看来,不完整的C&C资讯交换可能导致传送机密资讯的通讯被转送到其他地方,透过设定挡掉,或阻止传送。
为什么是这些目标?
我们联络了特定C&C服务器所监控的CARBERP感染电脑的用户,没有了那些可能已被破坏的详细资讯,为什么这些特定的受害者是这C&C的服务器的目标就只能是个猜想。
CARBERP命令与控制的相关叙述还有很多,请有兴趣的读者多多关注这方面的内容,我们也会继续关注的。
【编辑推荐】