点击蓝色字体,一键关注我们
“ 梦之想 网络安全护航者 ”
如果你喜欢看韩剧并且最近正在追韩剧,那么你一定要注意了!
网络安全公司ESET最近披露了GoBot2病毒的一个新变种,它主要通过伪装成韩国电影和电视节目的Torrent种子文件传播。
一旦你的计算机遭到感染,就将成为僵尸网络的一部分,而攻击者就能对你的计算机进行远程控制。
病毒简介
根据ESET安全专家的说法,此次披露的计算机病毒是基于被公开发布的GoBot2的源代码构建的,最大的修改是攻击者额外增加了一些用于绕过杀毒软件检测的反分析技术。由于此计算机病毒主要在韩国传播,因此ESET的安全专家将其命名为“GoBotKR”。
从ESET的遥测数据来看,GoBotKR自2018年3月以来一直很活跃,受感染最严重的是韩国(约占80%),其次是中国大陆(约占10%)和中国台湾(约占5%)。
感染过程
如上所述,GoBotKR主要通过伪装成韩国电影和电视节目的Torrent种子文件传播,其中就包括了韩国和中国的一些种子网站。
ESET安全专家的分析表明,双击运行这些恶意种子文件通常会导致如下几个类型的文件被下载:
MP4视频文件
PMA压缩文件(由EXE文件直接重命名)
LNK快捷方式文件
直接打开MP4文件,不会导致任何恶意操作,但它们通常被设置为“隐藏”。用户所能看到的,只有伪装成视频文件的恶意LNK文件。
值得注意的是,这些恶意LNK文件通常不会显示自己真实的扩展名(如上图所示),这显然是为了增加用户打开它们的可能性。
打开LNK文件,会导致GoBotKR的运行。同时,隐藏的MP4文件也会运行,这就导致用户无法察觉到任何异常。
ESET安全专家表示,攻击者之所以将恶意EXE文件重命名为PMA文件,同样是为了防止引起对用户的怀疑。另外,攻击者还使用了一些游戏作为诱饵,并使用了与这些游戏相关的文件名和扩展名。
具体来讲,攻击者为恶意可执行文件使用了如下文件名:
starcodec.pma
WedCodec.pma
Codec.pma
leak.dll
前三个伪装成电影或电视节目,最后一个则伪装成游戏。其中,“starcodec”似乎是想要伪装成合法的韩国编码/解码工具Starcodec。
恶意功能
如上所述,GoBotKR是基于在2017年3月份被公开发布的GoBot2的源代码构建的,同样采用了GoLang(也称“Go”)语言编写,并且有很多而已功能都与GoBot2相似。
总的来说,GoBotKR在技术上并不是特别复杂,大多数恶意功能都是通过使用GoLang库,以及执行Windows命令(如cmd、ipconfig、netsh、shutdown、start、systeminfo、taskkill、ver、whoami和wmic)和第三方实用程序(如BitTorrent和uTorrent)来实现的。
信息窃取
ESET的安全专家表示,GoBotKR背后的攻击者正在构建一个僵尸网络,然后利用它来执行各类DDoS攻击(如SYN Flood、UDP Flood和Slowloris)。
因此,GoBotKR在执行后会首先收集有关受感染计算机的系统信息,包括网络配置、操作系统版本,以及CPU和GPU版本。尤其值得一提的是,它还会收集已经安装的杀毒软件列表。
这些信息都将被上传到C&C服务器,以帮助攻击者确定在具体的攻击活动中应该使用哪些僵尸主机(受感染的计算机)。
从ESET安全专家捕获到的GoBotKR样本来看,所有的C&C服务器都托管在韩国,并且都是由同一个人注册的。
僵尸网络命令
一旦与C&C服务器建立起了通信,攻击者就可以C&C服务器向受感染计算机发送命令,主要包括:
针对指定目标执行DDoS攻击
访问某个网址
执行文件、命令、脚本
更新、终止或卸载
关闭、重启、注销计算机
更改IE浏览器的主页
更改桌面背景
传播Torrent种子
将自身复制到已经连接的移动存储介质上,并设置为自动运行
将自身复制到云存储服务(Dropbox、OneDrive、GoogleDrive)的公共文件夹中
运行反向代理服务器
运行HTTP服务器
更改防火墙设置,编辑主机文件,打开端口
启用/禁用任务管理器
启用/禁用Windows注册表编辑器
启用/禁用命令提示符
终止某个进程
隐藏进程窗口
反分析功能
ESET安全专家的分析表明,GoBotKR主要具有如下反杀毒软件和反分析功能:
1、在受感染计算机上安装两个实例,其中一个用作监视程序,用于监视另一个实例是否处于活动状态,如果已被删除,则会重新安装它。
2、能够检测特定的安全产品和分析工具是否存在,如果存在,则自动停止运行。
3、如果受感染计算机的IP地址在其黑名单(这些IP地址通常属于一些杀毒软件厂商,如BitDefender、Cisco、ESET等)之上,则自动停止运行。
4、能够通过扫描受感染计算机上运行的进程来检测特定的杀毒软件,如果存在,则自动停止运行并删除活动痕迹,这些杀毒软件包括:
360安全卫士国际版(360 Total Security)
安博士(AhnLab)
迈克菲(McAfee)
卡巴斯基(Kaspersky)
爱维士(Avast)
金山毒霸(Kingsoft Antivirus和Kingsoft InternetSecurity)
比特梵德(BitDefender)
小红伞(Avira)
ByteFence
安全建议
通过Torrent种子网站下载盗版内容,本来就是一件高风险的事情。众所周知,这些网站经常被恶意攻击者用于传播各种计算机病毒、手机病毒的媒介。
想要避免被感染,建议大家还是尽量选择官方渠道进行下载。在运行下载的文件之前,请留意它们的扩展名是否与你所想要下载的文件相匹配。
此外,仍建议大家定期安装系统补丁,以及使用用户评价较好的杀毒软件。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
想了解相关安全技术,请搜索“墨者学院”,或直接访问“www.mozhe.cn”。