电子说
6月12日讯 据安全公司 G Data 近期一份报告称,最近发现的远程访问木马 SocketPlayer 正在使用一个专门的程序库 socket.io,操作者可以此与被感染的设备进行交互,而不需要“信标” 消息。
常规银行木马只单向通信
SocketPlayer 后门与大多数使用典型单向通信系统的银行木马、后门及键盘记录程序不同,它通过使用 socket.io 库,可在应用程序之间实现实时的双向通信,根据这个特性,恶意软件处理程序不再需要等待被感染的设备启动通信,攻击者可以自行联系被感染的计算机。
据称,后门 SocketPlayer 一旦在被入侵的机器上安装成功,便能接收操作者的命令并执行各种操作,如嗅探驱动器、屏幕截图、抓取和运行代码等。研究人员还发现,SocketPlayer 还能够选择性采用其他功能,例如,作为键盘记录器,尽管在后门中没有实际的键盘记录功能。目前看似还没有过具体使用情况。
SocketPlayer感染路径
后门 SocketPlayer 的感染路径始于 downloader 的沙盒系统检测,如果通过检测,downloader 会下载一个可执行文件并进行解密,然后使用 Invoke 方法在内存中运行该解密程序。
被调用的程序会为宿主创建一个套接字连接(宿主为http://93.104.208.17:5156/socket.io),同时还要创建一个可实现持久化的注册表键。接下来检查是否存在 Process Handler/ folder,如果没有,就需要创建一个。之后,还需创建一个值为“Handler”的自动启动键。
此外,SocketPlayer 还会下载另一个可下载 SocketPlayer 的可执行文件,解密并在内存中运行。
两个变种
G Data 的安全研究员在研究过程中发现了 SocketPlayer 后门的两个变种:
第一个变种是一个大约100kb的文件,用以充当可从网站上执行任意代码的 downloader;
第二个变种则具备更复杂的功能,包括检测和规避沙箱机制。
据 G Data 的技术报告称,SocketPlayer 的第一个变种的第一个样本已于3月28日首次提交给 VirusTotal(免费的可疑文件分析服务网站),并在3月31日提交了该变种的第二个样本。此外,SocketPlayer 的第二个变种也存在两个版本。
安全研究人员注意到,SocketPlayer 的两个变种之间经历了一系列的变化,包括:
命令和控制(C&C)端口
文件位置
初始流程所发送的信息
在服务器中新添加了命令
在恶意软件中新添加功能
upldex 的存储位置等
恶意软件通过某印度网站分发
报告显示,已知的恶意软件样本通过一个印度网站进行分发,但尚不清楚后门如何传播。但无论该网站是用于感染目的还是只是用于镜像,显然该恶意软件在很长一段时间内都未被注意到。
全部0条评论
快来发表一下你的评论吧 !