CowelSnail:针对Windows系统的新后门
关注E安全 关注网络安全一手资讯
E安全7月28日讯 上个月,网络犯罪分子利用Samba
漏洞“永恒之红”(EternalRed)或SambaCry将虚拟货币挖矿软件传送至Linux服务器。安全研究人员发现,这群网络犯罪分子开发了一款针对Windows系统的新后门——“CowelSnail”。
经卡巴斯基实验室产品检测,这款新的恶意软件为Backdoor.Win32.CowerSnail)—— CowerSnail使用的命令与控制(C&C)服务器与SambaCry Linux恶意软件相同:cl.ezreal.space:20480。
CowerSnail使用Qt(跨平台开发框架)编写。安全专家认为,CowerSnail开发人员使用Qt是为了直接转移Unix代码,而非研究如何使用Windows API。另一方面,虽然在平台之间转移代码相对容易,但Qt使生成的文件更大。
CowerSnail是一个不寻常的恶意软件,通过Qt编写。Qt是开发跨操作系统应用程序的编码框架。Qt恶意软件并不新鲜,但像Codewise这类恶意软件却很少见。
卡巴斯基公司的研究人员谢尔盖·尤拉科夫斯基表示,CowerSnail恶意软件仅包含基本功能,目前只能作为后门感染主机。
CowerSnail的主要功能是在被感染主机上执行成批命令。CowerSnail从控制与命令(C&C)服务器接收这些命令。
CowerSnail和SambaCry Linux恶意软件或同门
CowerSnail和SambaCryLinux恶意软件使用的C&C服务器相同:cl.ezreal.space:2048。
尤拉科夫斯基解释称,SambaCry专门针对*nix系统。CowerSnail使用Qt编写,这说明开发人员并不希望探究WinAPI细节,更愿意“照搬”*nix代码。
这名安全专家认为,上述事实,再加上两款软件使用的C&C服务器相同,可以合理推测CowerSnail和SambaCry漏洞利用由同一组织开发。该组织创建了两个独立的木马:各自针对特定平台,并且各具特点,该组织未来可能会开发更多恶意软件。
CowerSnail具体功能
与SambaCry不同的是,CowerSnail不会默认下载虚拟货币挖矿软件,而是提供标准的后门功能:
接收更新(LocalUpdate)
执行任何命令(BatchCommand)
安装CowerSnail作为一种服务,使用服务控制管理器(Service Control Manager)命令行接口(Install)
将CowerSnail从服务列表卸载(Uninstall)
收集系统信息:
时间戳;
安装的操作系统类型(例如Windows);
操作系统名称;
主机名称;
网络接口名称;
ABI;
核心处理器架构;
物理内存信息。
尤拉科夫斯基还在CowerSnail C&C服务器流量中发现一些线索,表明开发人员正在研究添加IRC协议支持。恶意软件开发人员通常会在IRC通道中键入命令使用IRC协议控制被感染的主机。基于IRC的C&C服务器通信通常用于僵尸网络,而非后门木马。
SambaCry漏洞
SambaCry漏洞(CVE-2017-7494)能被用来将共享库上传至可写共享,并导致服务器加载该共享库,这就允许远程攻击者在目标系统上执行任意代码。
SambaCry漏洞已于5月修复,影响几个厂商的产品,包括路由器和网络附加存储(NAS)设备。事实上,Trend Micro 7月初发现一款恶意软件利用 SambaCry漏洞攻击NAS设备,尤其中小型企业使用的NAS设备。
E安全推荐文章
官网:www.easyaq.com
2017年7月