CARBERP命令與控制 服務器DNS攻陷
CARBERP命令與控制服務器又被攻陷
CARBERP研究結果又再一次證明惡意軟件作者更會隱藏自己和建立自己專用的秘密通訊管道。而且今天的機構們對處理這些問題是準備不足的,如同之前未偵測的泄漏了私密資料。
據稱,Botnet從2010年年初就開始部署了,但直到去年九月前都避免被注意到。Malware Intelligence在2010年2月的報告指出新型CAB檔案增加了專門用來盜取證書(“certificates”),密鑰(“keys”)和銀行憑證(“banking credentials”)的功能。
Trust Defender在去年10月報導CARBERP能夠經由掛勾(“hooking”) Wininet.dll和USER32.DLL的輸出函式表(“export table”)來控制網路流量。Seculert.com在今年2月初報導了如何生成專用的RC4密鑰來加密竊取的資料。
不需要提高權限就可運作
CARBERP C&C服務器具備有可擴充功能的設計,可以入侵某一版本Windows上的多種應用程式。從第一次記錄開始,CARBERP僵屍網路/傀儡網路 Botnet經由post /set/first.html傳出了所有正在運行的程序(“processes”),然後透過post /set/plugs.html來要求套件(“Plug-ins)或是透過post /set/task.html來取得任務。
CARBERP還能夠在使用者權限下運作,而不需要去更改注冊表或系統檔案。它利用了檔案系統本身的功能去隱藏自己。CARBERP跟很多應用程式一樣都會新增一個啟動捷徑,也可以假造網站,鍵盤側錄,并利用編碼訊息來建立秘密通信管道。CARBERP可以經由找到聯結不存在檔案的程序而發現。
從C&C流量中的發現
一個CARBERP攻擊的C&C服務器被置換成了只有登錄連接但沒有提示后續資訊交換的服務器。這個假CARBERP C&C服務器也沒有使用IPv6地址,這可能是一個錯誤。跟解析IPv4位址的電腦比起來,絕大部分的受害者電腦都會嘗試去解析IPv6位址。而且之後的HTTP連接也很少。從這一點看來,不完整的C&C資訊交換可能導致傳送機密資訊的通訊被轉送到其他地方,透過設定擋掉,或阻止傳送。
為什么是這些目標?
我們聯絡了特定C&C服務器所監控的CARBERP感染電腦的用戶,沒有了那些可能已被破壞的詳細資訊,為什么這些特定的受害者是這C&C的服務器的目標就只能是個猜想。
CARBERP命令與控制的相關敘述還有很多,請有興趣的讀者多多關注這方面的內容,我們也會繼續關注的。
【編輯推薦】
