查看原文
其他

CowelSnail:针对Windows系统的新后门

2017-07-28 E安全编辑部 E安全

关注E安全 关注网络安全一手资讯

E安全7月28日讯 上个月,网络犯罪分子利用Samba 漏洞“永恒之红”(EternalRed)或SambaCry将虚拟货币挖矿软件传送至Linux服务器。安全研究人员发现,这群网络犯罪分子开发了一款针对Windows系统的新后门——“CowelSnail”。

经卡巴斯基实验室产品检测,这款新的恶意软件为Backdoor.Win32.CowerSnail)—— CowerSnail使用的命令与控制(C&C)服务器与SambaCry Linux恶意软件相同:cl.ezreal.space:20480。

CowerSnail使用Qt(跨平台开发框架)编写。安全专家认为,CowerSnail开发人员使用Qt是为了直接转移Unix代码,而非研究如何使用Windows API。另一方面,虽然在平台之间转移代码相对容易,但Qt使生成的文件更大。

CowerSnail是一个不寻常的恶意软件,通过Qt编写。Qt是开发跨操作系统应用程序的编码框架。Qt恶意软件并不新鲜,但像Codewise这类恶意软件却很少见。

卡巴斯基公司的研究人员谢尔盖·尤拉科夫斯基表示,CowerSnail恶意软件仅包含基本功能,目前只能作为后门感染主机。

CowerSnail的主要功能是在被感染主机上执行成批命令。CowerSnail从控制与命令(C&C)服务器接收这些命令。

CowerSnail和SambaCry Linux恶意软件或同门


CowerSnail和SambaCryLinux恶意软件使用的C&C服务器相同:cl.ezreal.space:2048。

尤拉科夫斯基解释称,SambaCry专门针对*nix系统。CowerSnail使用Qt编写,这说明开发人员并不希望探究WinAPI细节,更愿意“照搬”*nix代码。

这名安全专家认为,上述事实,再加上两款软件使用的C&C服务器相同,可以合理推测CowerSnail和SambaCry漏洞利用由同一组织开发。该组织创建了两个独立的木马:各自针对特定平台,并且各具特点,该组织未来可能会开发更多恶意软件。

CowerSnail具体功能


与SambaCry不同的是,CowerSnail不会默认下载虚拟货币挖矿软件,而是提供标准的后门功能:

  1. 接收更新(LocalUpdate)

  2. 执行任何命令(BatchCommand)

  3. 安装CowerSnail作为一种服务,使用服务控制管理器(Service Control Manager)命令行接口(Install)

  4. 将CowerSnail从服务列表卸载(Uninstall)

  5. 收集系统信息:

  • 时间戳;

  • 安装的操作系统类型(例如Windows);

  • 操作系统名称;

  • 主机名称;

  • 网络接口名称;

  • ABI;

  • 核心处理器架构;

  • 物理内存信息。

尤拉科夫斯基还在CowerSnail C&C服务器流量中发现一些线索,表明开发人员正在研究添加IRC协议支持。恶意软件开发人员通常会在IRC通道中键入命令使用IRC协议控制被感染的主机。基于IRC的C&C服务器通信通常用于僵尸网络,而非后门木马。

SambaCry漏洞


SambaCry漏洞(CVE-2017-7494)能被用来将共享库上传至可写共享,并导致服务器加载该共享库,这就允许远程攻击者在目标系统上执行任意代码。

SambaCry漏洞已于5月修复,影响几个厂商的产品,包括路由器和网络附加存储(NAS)设备。事实上,Trend Micro 7月初发现一款恶意软件利用 SambaCry漏洞攻击NAS设备,尤其中小型企业使用的NAS设备。

28
E安全推荐文章

官网:www.easyaq.com

2017年7月

01CIA Vault7新文件曝光:CIA针对Window系统定制恶意软件平台
02Black Hat 2017:零日漏洞的二次发现率远高于预期
03快来找漏洞!洋葱(Tor)网络启动漏洞悬赏计划
04gSOAP现缓冲区溢出漏洞-数千台物联网设备受影响【视频】
05Linux用户小心!“Bad Taste”漏洞利用MSI文件运行任意代码
06NAS设备面临新威胁:SambaCry安全漏洞引入后门
07小心!MQTT安全漏洞影响能源行业及物联网设备安全

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存