wechatimg16

CSE ZLab 安全报告:发现新型僵尸网络 Wonder 程序踪迹

  • 浏览次数 6002
  • 喜欢 0
  • 评分 12345

HackerNews.cc 10 月 23 日消息,CSE CybSec ZLab 实验室研究人员近期在暗网调查恶意代码时发现一份以 “NetflixAccountGenerator.exe” 命名的应用软件,其承诺为用户免费提供 Netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统,从而被动参与黑客发起的网络攻击活动。目前,该恶意程序被用于僵尸网络 Wonder 传播。

调查显示,研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此,研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外,该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。(如下图)

wonder-botnet

对此,研究人员经检验证实,位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 C&C 服务器前端。有趣的是,它的每个链接指的都是原始页面。只要点击一个链接,研究人员就将被重定向至 “support.com” 相应页面。另外,研究人员还发现了一些隐藏的路径,其中包含僵尸程序使用的信息和命令。(如下图)

wonder-botnet-2-png

知情人士透露,该恶意软件由两部分组成:

Ο 下载器:它是一个 .NET 可执行文件,其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/E8ye2hvM” 上。

Ο 真正的僵尸程序:当它被下载和执行时,将会感染主机、设置持久机制并启动恶意操作。

CSE Cybsec ZLab 发布的报告中还包括 IoCs 和 Yara 规则的进一步技术细节,感兴趣的用户可通过以下链接下载完整报告进行查看:《Malware Analysis Report: Wonder Botnet

原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

hackernews_foot