SnatchLoader是一种“downloader”类型的恶意软件专门用于将恶意软件分发(或加载)到受感染的计算机体系上。 我们在2017年1月阁下发清楚明了该恶意软件的收集进击晃荡，该进击晃荡一向持续了几个月的时光才慢慢消掉。比来，我们的研究人员发明该恶意软件又开端提议新一轮的收集进击晃荡了，在此次收集进击晃荡中我们捕获到了该恶意软件的更新，并发明该恶意软件正被用于加载Ramnit银行特洛伊木马。此外，该恶意软件还应用了一个称为“地舆IP阻拦”的有趣功能，以使得只有某些地舆区域的计算机才会被感染。到今朝为止，我们已经可以或许肯定，至少英国和意大年夜利是该恶意软件进击的目标，但美国，法国和喷鼻港今朝还不是。

SnatchLoader敕令和控制面板的登录页面

介绍

几个月前，有一个关于关于垃圾邮件告白的Twitter ，当时是一个未知的“downloader”恶意软件，该恶意软件专门用于将恶意软件分发(或加载)到受感染的计算机体系上。根据我们的分析，该“downloader”恶意软件是“SnatchLoader”恶意软件的更新法度榜样，KernelMode.info论坛在2017年1月时代有对SnatchLoader进行扼要评论辩论的相干帖子的。正如论坛上该帖子所述，尽管没有进行具体的代码比较，但SnatchLoader和H1N1 Loader的恶意软件家族似乎有一些类似之处。除此之外，今朝我们还没有看到任何干于SnatchLoader恶意软件的进一步评论辩论，是以本文我们将对SnatchLoader最新版本更新进行分析。

样本

Twitter 中引用的示例在VirusTotal上可以找到。 然而，我们的大年夜多半静态分析工作是在更新版本的“核心DLL”上履行的，该更新法度榜样的最新编译日期为2017-10-04，该DLL在2017年10月11日初次被上传到了VirusTotal上。

Windows API调用

经由过程我们的分析发明，该恶意软件对Windows API的调用都是在运行时经由过程函数名哈希的方法进行的，散列算法是ROL和XOR运算的组合，在GitHub上可以找到该散列算法的一个Python代码实现。以下是一些API函数名称及其对应的哈希表：

• RtlZeroMemory - > 0x6b6c652b
• CreateMutexW - > 0x43725043
• InternetConnectA - > 0x1d0c0b3e

静态设备

Section的第一个DWORD(上图中的0x99a8)用作密钥生成函数的种子，此功能的Python实如今GitHub上可以找到 ，应用RC4算法和生成的密钥可以解密残剩的数据。解密的设备可以分成两个块：第一个块是XML构造的设备数据，具体如下图所示(为了可读性添加了空格)：

第二个设备块是一个RSA证书，用于对下载的数据的履行签名检查。

敕令与控制

到今朝为止，我们不雅察到的所有C2 URL都是HTTPS的。 然则经由过程应用调试器，我们可以应用HTTP与办事器进行通信，并以明文方法查看回连的通信收集流量，具体如下图所示：

恶意软件对POST数据进行了四次加密操作：

一个静态设备被加密存储在DLL的PE Section中，今朝我们已经看到该Section的两个名称：.idata和.xdata .，具体如下图所示：

1.RC4加密，KEY来源竽暌冠设备文件

地舆阻拦和当前有效载荷

通信分为四种请求类型：

2.Base64编码

3.字符调换

4.应用“\ r \ n”分隔符把数据拆分成64字节的数据块

SRV是敕令和控制(C2)办事器的URL，TIME是回连的轮询距离(单位时光为分钟)，NAME是一个晃荡标识符(02.10可能意味着10月2日)，KEY用于加密回连通信。

+ 到 -

/ 至 _

. 到 =

1.获取动态设备

2.发送体系信息

3.敕令轮询

det - 与反分析相干

有三个字符被调换了，并且它们都是可逆的：

4.发送敕令结不雅

获取动态设备请求

def - 检测反分析过程名称

以下是“获取动态设备”请求的纯文本请求数据：

各个请求字段的含义分别是：

• req：请求类型
• guid：bot ID
• name：来自静态设备的NAME
• trash： 随机长度的随机字符

响应数据似乎也被加密处理了，但并没有经由4次加密处理。

响应如下所示：

SUCCESS|<CFG><SRV>https://lookmans[.]eu/css/order.php|https://vertasikupper[.]eu/css/order.php</SRV><TIME>120</TIME><NAME>02.10</NAME	
			
 1/3    1 2 3 下一页 尾页
	
			

　　推荐阅读
　　数据库高可用方案PK：选择Oracle还是MySQL？
            关于Oracle和MySQL的高可用筹划，其实一向想要总结了，今天禀为几个系列简单说说。经由过程如许的比较，会对两种数据库架构设计上的细节差别有一个根本的熟悉。高可用筹划概览Oracle有一套很成熟的高可>>>详细阅读


本文标题：技术分享--SSnatchLoader恶意软件更新分析
地址：http://www.17bianji.com/lsqh/38484.html
 1/2    1