近日,安全研究人员发现 DDoS IRC Bot 恶意样本正伪装成成人游戏通过网盘进行传播。在韩国,Webhards 是恶意软件经常利用的投递渠道,过去发现传播过 njRAT 和 UDP RAT。
通过 Webhards 分发的 UDP RAT
之前发现通过 Webhards 分发的 UDP RAT 与本次发现的恶意样本,应该是同一伙攻击者运营的。首先,二者都是假借成人游戏的幌子进行传播,此外,在下载了 DDoS Bot 后也使用了 UDP RAT。
有一个不同之处在于,之前的 Downloader 是使用 C# 编写的,现在改用 Golang 开发。与 UDP RAT 一起使用的 DDoS Bot 是从开源的 Simple-IRC-Botnet(使用 Golang 开发的 DDoS IRC Bot)修改而来。
△ Simple-IRC-Botnet 项目
由于 Golang 的开发难度较低且原生支持跨平台,正在被各种攻击者广泛使用。在韩国发现的各种恶意软件,使用 Golang 的比例也正在增加。
如下所示,攻击者将恶意软件伪装成成人游戏上传到网盘。
△ 网盘截图
虽然不确定上传文件的用户是否为攻击者,但攻击者发的很多类似的贴子都在分发相同的恶意软件。尽管,每个宣称的成人游戏都不相同,但压缩文件中的恶意软件都相同。
△ 攻击者发布的贴子
分发涉及的成人游戏如下所示:
将压缩文件解压后,如下所示。通常,用户会点击 Game_Open.exe运行游戏。
△ 伪装成 Game_Open.exe 的恶意软件
但其实 Game_Open.exe并不是游戏的启动器,而是用来运行其他恶意软件的可执行文件。程序执行后,将相同路径下的 PN更名为 scall.dll并执行。再将原始的游戏可执行文件 index更名为 Game.exe并运行。以此,让用户以为是自己的点击触发了游戏的正常执行。
△ 游戏截图
执行成功后,Game_Open.exe文件将被隐藏。而 scall.dll会将同一路径下的 srt文件移动到 C:Program FilesEdmGen.exe。
△ 恶意软件位置
紧接着进行持久化驻留:
代码语言:javascript复制“C:WindowsSystem32cmd.exe” /c SCHTASKS /CREATE /SC ONSTART /NP /TN “Windows Google” /TR “C:Program FilesEdmGen.exe”
EdmGen.exe会运行正常程序 vbc.exe并将恶意代码注入其中。注入后,该样本就变成了一个使用 Golang 开发的 Downloader。
如下所示,恶意软件定期与 C&C 服务器通信,获取后续的恶意样本。
△ 通信代码
下载地址为 http://node.kibot.pw:8880/links/01-13,本地路径为 C:Downdiscord_[random characters][malware name]。
Simple-IRC-Botnet
之前安装的 UDP RAT,目前安装的是使用 Golang 开发的 Simple-IRC-Botnet。
这种 DDoS Bot 使用 IRC 协议与 C&C 服务器通信,与 UDP RAT 只支持 UDP 洪水不同,它支持 Slowris、Goldeneye、Hulk DDoS 等方式的攻击。
△ 样本代码
Golang DDoS IRC Bot 会连接到特定的 IRC 服务器并进入攻击者创建的频道,接收到攻击者指令时,对目标进行 DDoS 攻击。
IRC 通信
Golang DDoS IRC Bot 恶意软件使用的 IRC 服务器如下所示:
代码语言:javascript复制210.121.222.32:6667
157.230.106.25:6667
89.108.116.192:6667
176.56.239.136:6697
△ 进入 IRC 频道
△ 攻击指令下发
这些恶意软件正在韩国通过 webhards 等文件共享网站广泛传播,建议用户下载时需要小心注意。