CSE ZLab专家在野外发现了一个新的Wonder僵尸网络

  • CSE ZLab专家在野外发现了一个新的Wonder僵尸网络已关闭评论
  • 40 views
  • A+
所属分类:分类阅读

CSE CybSec Z-Lab恶意软件实验室在暗网调查恶意代码时,发现一个新的僵尸网络,被称为Wonder僵尸网络。

在暗网调查恶意代码时,ZLab的专家发现了一个“NetflixAccountGenerator.exe”,它承诺为Netflix服务免费生成一个高级帐户。不幸的是,下载的软件无法正常工作, 它安装了BOT,而不是创建一个想要的帐户!

恶意软件研究人员分析了这个“exe”文件,发现恶意软件尚未编入索引:Clearnet上只有一个网站在9月20日首次上传之后将其视为威胁,可能是作者为了测试其保持隐身的能力。

恶意软件的分析显示,它是一个机器人,属于由Wonder僵尸网络专家所称之为活着的僵尸网络。命令和控制隐藏在另一个镜像的站点之后:

CSE ZLab专家在野外发现了一个新的Wonder僵尸网络

图1 - 左侧为假地点; 在右边的原始网站

专家证实,虚拟页面“support.com”位于左侧的“wiknet.wikaba.com”,指向僵尸网络C2C的前端。有趣的是,它的每个链接指的是原始页面,点击一个链接,研究人员被重定向到“support.com”上的相应页面。

专家还发现了一些隐藏的路径,其中包含了机器人使用的信息和命令。

恶意软件由两部分组成:

  • 下载器:它是一个.NET可执行文件,其唯一目的是下载并执行真正的bot代码,上传到“pastebin.com/raw/E8ye2hvM”上。
  • 真正的Bot:当它被下载和执行时,它感染主机设置其持久性机制并启动其恶意行为,如下图所示:
  • CSE ZLab专家在野外发现了一个新的Wonder僵尸网络图2 - Wonder Botnet的行为方案

    CSE Cybsec ZLab发布的报告中还包括进一步的技术细节,包括IoC和Yara规则。您可以通过以下URL下载完整的ZLAB恶意软件分析报告:http://csecybsec.com/download/zlab/Wonder_botnet_ZLab_report.pdf

翻译自http://securityaffairs.co/wordpress/64633/malware/wonder-botnet-dark-web.html,转载请注明来自404安全