Kardon Loader构建恶意软件分发网络非常简单

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Netscout Arbor的研究人员在地下论坛上发现了一款​​恶意软件下载器,作为付费公测产品,其名称为Kardon Loader

Kardon Loader构建恶意软件分发网络非常简单

来自Netscout Arbor的研究人员发现了一款​​名为Kardon Loader的地下论坛上的广告,它允许客户构建恶意软件分发网络或botshop。

Kardon Loader的高级版首先在2018年4月21日发现,作者与名字Yattaze联机时申请$ 50,并将其作为独立版本提供,并向用户收取每次额外的重建费用。

“Kardon Loader是一款在地下论坛上作为付费公测版产品发布的恶意软件下载器。”阅读由Netscout Arbor发布的博客文章。

“该演员将恶意软件作为独立版本销售,并为每次额外的重建收费,或建立 botshop 的能力, 在这种情况下,任何客户都可以建立自己的运营并进一步向新的客户群出售。”

Downloader恶意软件和机器人商店是创建僵尸网络的重要组件,可用于分发各种恶意软件,如勒索软件,银行木马和加密货币矿工。

骗子使用所提供的接入配电网作为一项服务在网络犯罪地下市场。

专家认为,Kardon Loader代表了由同一个演员构建的ZeroCool僵尸网络的品牌重塑。

Kardon Loader的广告显得非常专业,演员创建了自己的徽标并提供免责声明,声明该软件不应用于恶意目的。他还发布了一个展示该平台管理面板的YouTube视频。

在演员宣传的机器人功能之下:

Bot功能
下载并执行任务
更新任务
卸载任务
Usermode Rootkit
RC4加密(尚未实施)
调试和分析保护
TOR支持
域生成算法(DGA)

来自ASERT的研究人员分析了一些恶意代码样本,并注意到某些功能没有实现,例如,所有样本都使用硬编码命令和控制(C&C)URL而不是DGA,“usermode rootkit”和Tor支持均为未实现。

专家确定恶意软件下载器检查与防病毒,分析和虚拟化工具关联的各种DLL的句柄,并在返回任何句柄时暂停其进程。

为了避免在虚拟化环境中执行,Kardon Loader还会枚举CPUID供应商ID值并将其与以下字符串进行比较:

KVMKVMKVM
微软Hv
VMwareVMware
XenVMMXenVMM
prl hyperv
VBoxVBoxVBox

这些是与虚拟化机器相关的已知CPUID供应商ID值。如果检测到这些值中的一个,恶意软件也将退出

Kardon Loader还可枚举CPUID供应商ID值,并将其与虚拟机(KVMKVMKVM,Microsoft Hv,VMwareVMware, XenVMMXenVMM,prl hyperv,VBoxVBoxVBox)关联的已知值列表进行比较 。

恶意代码使用基于HTTP的C&C基础结构,其中包含base64编码的URL参数。

“执行后, Kardon Loader将发送HTTP POST到C2,其中包含以下字段:

ID =识别号码
OS =操作系统
PV =用户权限
IP =初始有效负载(完整路径)
CN =计算机名称
UN =用户名
CA =处理器体系结构“

反过来,服务器向恶意软件提供指令,例如下载和执行额外的有效载荷,访问网站,升级当前的有效载荷或自行卸载。

管理面板非常简单,它实现了一个仪表板,提供关于bot分布和安装统计信息。

卡顿装载机panel1-1024x512

“ 这个面板的一个显着特点是机器人商店功能允许机器人管理员为 客户生成访问密钥,使他们能够根据预定义的参数执行任务 ”,继续分析,

“尽管只有在公开测试阶段,这款恶意软件才具有bot商店功能,允许购买者通过该平台开设自己的 botshop ,”

分析包括组织可用于阻止与Kardon Loader相关的恶意活动的IoCs。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: