ddos攻击的端口-达纳波特控制面板显示
安全
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2020-11-26 01:57

概述Proofpoint研究人员于2018年5月发现并报告了DanaBot银行恶意软件[1]。在我们2018年10月的更新[2]中,我们推测DanaBot可能被设置为一个"恶意软件即服务",其中一个威胁参与者控制全球指挥和控制(C&C)面板和基础设施系统,然后向其他被称为附属公司的威胁参与者出售访问权限。然后分支机构瞄准并分发他们认为合适的DanaBot恶意软件。在分析这个基础设施的一个组件时,我们发现了一个有趣的图形客户端应用程序,我们认为它是附属公司用来访问全球C&C系统的控制面板。一旦登录到系统,他们就可以配置和构建他们的DanaBot恶意软件;访问受感染的设备;筛选任何被盗数据,包括凭证、财务帐户信息等等。控制面板应用我们目前的理论是,当一个分支机构购买了对DanaBot系统的访问权时,他们将得到这里描述的控制面板应用程序和一个全球C&C系统的用户帐户。与恶意软件一样,控制面板也是用Delphi编程语言编写的。其编制日期为"2019-02-04 22:33:42",内部名称为客户端.exe". 该应用程序主要是一个图形化的前端,其中输入被格式化为命令,然后发送到后端C&C服务器进行处理。处理完成后,C&C服务器将返回结果,防御cc攻击软件,然后由应用程序显示这些结果。图1到图6给出了控制面板的主要组件。虽然在后端C&C服务器之间发送和接收数据需要有效的登录名,但这些图仍然说明了DanaBot分支机构可以通过控制面板执行的一些潜在操作:登录到后端C&C服务器(图1)构建新的DanaBot恶意软件(图2)查看受感染设备的各种统计数据(图3)配置恶意软件的各个方面(例如,屏幕的视频录制、键盘记录和webinjects)(图4)搜索和查看被盗信息(如凭证和金融账户信息)(图5)在受感染的设备上操作(例如,搜索文件、下载文件、执行命令、截屏和打开VNC会话)(图6)图1:控制面板"连接"选项卡图2:控制面板"构建"按钮图3:控制面板"Stats"选项卡图4:控制面板"配置"选项卡图5:控制面板"日志"选项卡图6:控制面板"联机"选项卡与DanaBot恶意软件关联除了发现与DanaBot密切相关的基础设施上的控制面板应用程序外,还有两个重要证据将此控制面板应用程序与DanaBot恶意软件联系在一起:C&C协议重叠共享RSA公钥2019年2月,类似奇安信的高防cdn,在野外发现了新版本的DanaBot恶意软件,其中包含新的C&C协议。ESET的研究人员首先注意到了这一更新,并发表了一篇博客文章[3],详细介绍了这些变化。从那时起,我们所了解到的所有DanaBot附属公司都转向了这个新版本。以ESET的帖子为背景,我们可以比较和对比控制面板应用程序中使用的网络通信(尝试登录C&C服务器时生成的流量-图7)和恶意软件中使用的C&C协议(初始信标-图8)。图7:控制面板"登录"请求图8:DanaBot恶意软件"初始信标"在这两张图中,我们可以看到两组通信,每一组都包含一个24字节的报头(用红色突出显示),然后是加密数据(以蓝色突出显示)。标题包含:偏移量0x0:数据长度(QWORD)偏移量0x8:随机值(QWORD)偏移量0x10:随机值+数据长度(QWORD)加密数据段由3部分组成:AES-256使用随机生成的密钥加密数据填充长度(DWORD)随机生成的AES密钥,已使用嵌入的RSA公钥进行RSA加密在第一组通信中,AES加密数据包含由控制面板应用程序和恶意软件生成的第二个RSA公钥。第二个RSA密钥用于解密从C&C服务器发回的数据。第二组通信包含控制面板应用程序的初始命令"登录命令"和恶意软件的"初始信标"。两个命令都使用167字节的结构,并共享许多公共字段,如表1所示。一些似乎只适用于恶意软件的字段,如架构(architecture)和进程完整性(process integrity),在控制面板中设置为零。场控制面板应用DanaBot恶意软件长度167167随机值89318499随机值+长度90988666子公司ID05命令101300论据1006年*0随机值23578614697未知00建筑064Windows版本0610760110未知00是管理员吗01过程完整性012288未知01未知00用户名/存档密钥**测试用户BB0B8678649F818C3A8F360098FD8874密码/一次性1***测试通过9AA088954D476D58590AC5B40543AF3C一次性***/一次性2***701011CE5A3BBBC4A5901A19BF19A706AF9DE6B708E347F5A8F77E2EAF29E75F*控制面板版本**用于解密从C&C服务器发送到恶意软件的组件存档的密钥***恶意软件和控制面板使用我们称之为"nonces"的东西。它们也可以被视为校验和的一种类型。一般来说,它们是各种字段和硬编码常量的MD5散列值。表1:控制面板"登录"命令与DanaBot恶意软件"初始信标"命令控制面板应用程序和恶意软件共有的第二个主要功能是嵌入式RSA公钥,用于在C&C协议中加密AES会话密钥:-----开始公钥-----migfma0gcsqgsib3dqebaquaa4gnacbiqkbgqcyjo2axoqnp+KeAnWlpOiuMk5Wl1An5GorPHqEyFAlRyv6sEylQDjAuSLGsy2LCvKmuzx2AFQ+3IMFQFF3JACYHMYWuiL1V+R910TohM+6hnLnWx7JNbfzB3S7D1JC/WNUWLV5NNIIX1I+zIW5BTanU1yQ97xjvokjvZHCHe2wIDAQAB-----结束公钥-----自2月份升级以来,我们观察到的所有DanaBot恶意软件示例中都使用了此RSA公钥。这是我们怀疑有一个单一的全球C&C小组,所有附属恶意软件与之通信的部分原因。除了重叠的C&C协议和共享的RSA密钥外,控制面板中的代码和恶意软件共享相同的结构和样式。结论一个独立的二进制应用程序,分支机构通过它访问恶意软件控制面板是不寻常的,恶意软件开发人员通常选择基于web的控制面板。然而,有几个因素表明,这里描述的应用程序被DanaBot子公司用来构建和配置他们的恶意软件,然后访问受害者设备。在这两种情况下,通过代理服务器防御ddos,如何设置防御cc,通常是威胁参与者的疏忽操作安全错误或恶意软件故意"泄露"而暴露控制面板。然而,一旦暴露出来,它们往往会为恶意软件活动提供有用的见解,北京高防cdn,并提供一个通常为维护者所隐藏的视角。工具书类[1]https://www.proofpoint.com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-0[2]https://www.proofpoint.com/us/threat-insight/post/danabot-gains-popularity-and-targets-us-organizations-large-campaigns[3]https://www.welivesecurity.com/2019/02/07/danabot-updated-new-cc-communication/ 妥协指标(IOC)国际奥委会IOC类型说明d7ef48545457cbe791ed23c178551e4b17f0964a9e9ef7d0badda9f3e8c594f3SHA256DanaBot控制面板8327931a5d2430526862d789b9654c9c8da7bc64519d210a93e4720aac7ccaa0SHA256用于比较的DanaBot恶意软件(附属公司5)