资讯
主页 > 技术文章 > 正文

腾讯安全反病毒实验室:Nitol僵尸网络家族变种借“快猴网”套“肉鸡”

发表时间:2018-03-09

0x1 概况

腾讯安全反病毒实验室发现一个名叫快猴网(www.kuaihou.com)的下载站通过在游戏辅助工具置入lpk病毒“肉鸡

在裸机环境下,受害者在猴下载下载并运行自己需要的游戏辅助工具而受害者并不会注意到辅助工具解包目录下隐藏着恶意文件lpk.dll,一目录下的辅助工具运行lpk.dlll就会被加载执行,继而lpk.dll会备份自身到受害者计算机磁盘的各个文件夹下,以争取自身更多的加载执行机会、更长的生命周期、更深的隐藏和潜伏同时lpk.dll会释放个随机名的EXE病毒,EXE病毒会连接&接受C2服务器的指令并发起DDOS攻击电脑设备完全沦为Nitol“肉鸡

众所周知 Nitol源码公开之后,各种不同协议的Nitol版本病毒衍生而出。目前Nitol家族仍然是盘踞在Windows环境下Botnet的“活跃分子”。Nitol的显著特就是使用lpk.dll劫持,通过lpk.dll劫持实现病毒样本受害者电脑磁盘上进行横向复制感染,会向包括U盘等可移动磁盘、地磁盘的一些文件夹复制备份lpk.dll,以达到劫持攻击的目的

2012年在一项代号b70的行动中,微软发现,中国某些零售商在出售电脑时,会在Windows系统中装恶意软件。在整个销售过程中,为电脑安装恶意软件可能跟任意一个销售环节都有关系,从出厂到运输,到出售。其中在一项针对Nitol僵尸网络的研究中,微软的专家在中国的不同城市购买了一些电脑,发约有20%都在出厂时感染了恶意软件。当时Nitol的许多C2都指向了 3322.org个域名,为阻止了Nitol僵尸网络的蔓延,微软接管了3322.org域名的请求,通过DNS重定向阻止了370万恶意软件向此网站的连接。

20174月包含了永恒之蓝"EternalBlue")MS-010漏洞NSA武器库被匿名黑客公布,除了臭名昭著的"EternalBlue"+WannaCry勒索病毒之外,"EternalBlue"+Nitol病毒也狼狈为奸,快速传播。在腾讯电脑管家等国内安全软件的强力防护下,"EternalBlue"的威力不再,利用其他方式传播的Nitol病毒浮视野快猴”投毒软件包,该种水坑攻击方式的出现并不意外。

0x2 传播方式

快猴”游戏相关版块下的大量软件包被投毒,这些软件置入lpk.dll恶意文件。从文件的置入时间判断至少2017年2月起就有少量的游戏包开始被投毒lpk.dll量的游戏10.1114:52分被投毒或者再次投毒。

 

 

从外围信息来看,网平均每天有10W+的用户访问,通过QQ群搜索“kuaihou”,可以发现有大量的游戏爱好者组建相关游戏QQ群,公告里能看到“快链接地址,理解一些游戏爱好者中的口碑地位,也正是这些游戏爱好者会通过“快下载一些游戏或辅助工具。

 

 

一旦有受害者感染Nitol病毒,病毒还会尝试进行横向传播。

1. lpk.dll会备份感染至受害者磁盘的可能存在可执行程序的文件夹,以保证能够更好启动执行 此时如果受害者计算机连接了U盘、移动硬盘等可移动媒介lpk.dll还尝试备份感染这些移动媒介

2. 另外Nitol病毒一旦有机会执行会通过密码扫描,进而利用ipc$和默认共享入侵远程电脑。

0x3样本分析

1. lpk.dll

与其他Nitol木马生成器生的lpk.dll样,为加载器lpk.dllNitol病毒程序放置ID为102的RCData资源中,lpk.dll有机会执行,了进行备份感染传播外,重要的是lpk.dll会释放ID为102位置Nitol病毒程序启动执行。

 

2. Nitol病毒程序

样本加了upx压缩壳加壳后文件只有20KB 。

Nitol病毒接受并执行C2服务来的指令 可下载、更新、删除病毒木马通过执行Cmd命令打开IE浏览器弹出网页,另外还可以通过C2远程指令进行syn flood、tcp flood、http flood三大DDOS攻击向量。同时Nitol可以通过IPC$共享进行横向传播

1) 新感染Nitol的机器会检测自身是否运行windows目录下,如果不在,则拷贝自身到系统目录,文件名6个随机小写字符:

 

2) Nitol拷贝windows目录后,通过创建一个名为“Mnopqr Tuvwxyab fafffs“的服务实现自启动。

 

3) Nitol病毒通过口令字典尝试访问IPC$共享以达到感染内网的目的。

 

 

4) 紧接着完成IPC$共享感染后,病毒程序就会创建线程连接C2服务,接受并执行来自于C2服务器的指令。

a) C2地址以密文形式存在于文件中,加密算法为base64+凯撒移位+异或

 

b) 病毒会根据C2服务器的指令进行任意文件的下载更新、弹出IE网页,以对目标系统进行如下类型DDOS攻击

i. SYN Flood

ii. TCP Flood

iii. HTTP Flood

c) 远程指令如下:

 

3. IOCs

1) 部分被投毒的软件包。

 

2) C2服务

a) “快猴网“Nitol僵尸网络C2。

 

b) 其他部分Nitol僵尸网络C2f3322是目前主要的C2服务,域名与之前3322域名有不可描述的相似)。

 

3) DDOS攻击情况

4) Nitol病毒感染分布

0x4安全建议

对于此类病毒从源头传播到向传播,电脑管家可以进行有效的防御查杀建议广大网友保持良好的上网习惯,保持电脑管家的正常开启,使用外挂、辅助类工具轻易关闭或退出电脑管家,使用移动媒介在他人设备拷贝文件时注意电脑管家U盘防护的提醒建议。

 

资讯排行