Kardon Loader构建恶意软件分发网络非常简单

Netscout Arbor的研究人员在地下论坛上发现了一款​​恶意软件下载器，作为付费公测产品，其名称为Kardon Loader。

来自Netscout Arbor的研究人员发现了一款​​名为Kardon Loader的地下论坛上的广告，它允许客户构建恶意软件分发网络或botshop。

Kardon Loader的高级版首先在2018年4月21日发现，作者与名字Yattaze联机时申请$ 50，并将其作为独立版本提供，并向用户收取每次额外的重建费用。

“Kardon Loader是一款在地下论坛上作为付费公测版产品发布的恶意软件下载器。”阅读由Netscout Arbor发布的博客文章。

“该演员将恶意软件作为独立版本销售，并为每次额外的重建收费，或建立 botshop 的能力， 在这种情况下，任何客户都可以建立自己的运营并进一步向新的客户群出售。”

Downloader恶意软件和机器人商店是创建僵尸网络的重要组件，可用于分发各种恶意软件，如勒索软件，银行木马和加密货币矿工。

骗子使用所提供的接入配电网作为一项服务在网络犯罪地下市场。

专家认为，Kardon Loader代表了由同一个演员构建的ZeroCool僵尸网络的品牌重塑。

Kardon Loader的广告显得非常专业，演员创建了自己的徽标并提供免责声明，声明该软件不应用于恶意目的。他还发布了一个展示该平台管理面板的YouTube视频。

在演员宣传的机器人功能之下：

Bot功能
下载并执行任务
更新任务
卸载任务
Usermode Rootkit
RC4加密（尚未实施）
调试和分析保护
TOR支持
域生成算法（DGA）

来自ASERT的研究人员分析了一些恶意代码样本，并注意到某些功能没有实现，例如，所有样本都使用硬编码命令和控制（C＆C）URL而不是DGA，“usermode rootkit”和Tor支持均为未实现。

专家确定恶意软件下载器检查与防病毒，分析和虚拟化工具关联的各种DLL的句柄，并在返回任何句柄时暂停其进程。

为了避免在虚拟化环境中执行，Kardon Loader还会枚举CPUID供应商ID值并将其与以下字符串进行比较：

KVMKVMKVM
微软Hv
VMwareVMware
XenVMMXenVMM
prl hyperv
VBoxVBoxVBox

这些是与虚拟化机器相关的已知CPUID供应商ID值。如果检测到这些值中的一个，恶意软件也将退出

Kardon Loader还可枚举CPUID供应商ID值，并将其与虚拟机（KVMKVMKVM，Microsoft Hv，VMwareVMware， XenVMMXenVMM，prl hyperv，VBoxVBoxVBox）关联的已知值列表进行比较 。

恶意代码使用基于HTTP的C＆C基础结构，其中包含base64编码的URL参数。

“执行后， Kardon Loader将发送HTTP POST到C2，其中包含以下字段：

ID =识别号码
OS =操作系统
PV =用户权限
IP =初始有效负载（完整路径）
CN =计算机名称
UN =用户名
CA =处理器体系结构“

反过来，服务器向恶意软件提供指令，例如下载和执行额外的有效载荷，访问网站，升级当前的有效载荷或自行卸载。

管理面板非常简单，它实现了一个仪表板，提供关于bot分布和安装统计信息。

卡顿装载机panel1-1024x512

“ 这个面板的一个显着特点是机器人商店功能允许机器人管理员为 客户生成访问密钥，使他们能够根据预定义的参数执行任务 ”，继续分析，

“尽管只有在公开测试阶段，这款恶意软件才具有bot商店功能，允许购买者通过该平台开设自己的 botshop ，”

分析包括组织可用于阻止与Kardon Loader相关的恶意活动的IoCs。