本周,卡巴斯基實驗室發現了一種通過将惡意代碼注入Windows可執行文件而傳播的新型計算機病毒,它被命名為“KBOT”。
KBOT會做什麼?根據卡巴斯基實驗室的說法,在受感染的文件被打開後,KBOT便會将自身寫入Startup和Task Scheduler,然後部署Web注入以嘗試竊取受害者的銀行和個人數據。
除此之外,KBOT還會下載其他竊取程序模塊,這些竊取程序模塊幾乎能夠收集有關受害者的全部信息并将它們上傳到C&C服務器,包括密碼/登錄名、加密貨币錢包數據、文件列表以及已安裝的應用程序等。
值得注意的是,所有被盜文件和數據全都被存儲在使用RC6算法加密的虛拟文件系統中,這就導緻KBOT的惡意行為很難被檢測到。
KBOT的感染鍊如上所述,KBOT是通過将惡意代碼注入Windows可執行文件來傳播的。根據卡巴斯基實驗室的說法,它會感染位于邏輯驅動器(HDD分區、外部媒體、網絡驅動器)和共享網絡文件夾中的所有EXE文件。
為了實現這一點,KBOT使用了IID_IwbemObjectSink接口和SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA'Win32_LogicalDisk類型的查詢來偵聽本地和網絡邏輯驅動器的連接事件,然後覆蓋IWbemObjectSink接口的Indicate函數,并對每個驅動器執行目錄的遞歸掃描。
在掃描目錄并感染可執行EXE文件之前,KBOT還會使用API函數NetServerEnum和NetShareEnum檢索共享網絡資源的路徑。
Web注入
為了隐藏其惡意行為,KBOT會嘗試将代碼注入正在運行的系統進程中,injects.ini示例如下:
其中,JUPITER.32和JUPITER.64是執行Web注入的DLL,可幫助KBOT竊取受害者在浏覽器中輸入的個人數據,包括密碼、信用卡/加密貨币錢包号碼等。
DLL劫持
為實現在合法系統應用程序的地址空間中運行,KBOT選擇了通過感染在系統可執行文件的導入目錄中指定的系統庫來執行DLL劫持攻擊,以便将自身寫入Startup。
自啟動
為實現随受感染系統啟動而自動運行,KBOT使用了以下方法:
1.将自身寫入Software\\Microsoft\\Windows\\CurrentVersion\\Run。
2.使用WMI工具,在Task Scheduler中創建一個任務來運行受感染的系統EXE文件,用于創建任務的XML示例如下:
遠程管理
為實現對受感染計算機的遠程管理,KBOT會與BC.ini文件中列出的服務器建立反向連接。
為了使用RDP協議同時創建多喝會話,KBOT會配置遠程桌面服務器的設置:
1.查找在内存中加載了termserv.dll庫的進程。
2.修補加載了termserv.dll庫的進程的内存部分。
3.在修補過程中,在模塊的内存中搜索特定的字節集,并将其替換為指定的字節。
接下來,KBOT會适當地編輯負責TermService設置的注冊表項的值,包括但不限于如下這些值:
然後,KBOT将重新啟動TermService并在系統中創建一個用戶,用于使用SID WinBuiltinRemoteDesktopUsersSid進行遠程連接。
C&C通信
分析表明,KBOT可以從C&C服務器接收如下命令:
混淆
為隐藏其惡意行為,KBOT使用了一套相當複雜的混淆工具。
加載時,主bot模塊将檢查是否對導入的函數進行了斷點修補。如果是這樣,它會将導入的DLL重新加載到内存中,将導入的函數的名稱清零,并使用字符串混淆(使用RC4算法加密,解密密鑰存儲在結構中)。
加密的字符串被存儲在特殊的結構數組中,在需要訪問它們時,KBOT将使用數組中字符串結構的編号調用解密函數,解密函數示例如下:
KBOT可以說是一種高危險性的網絡威脅,因為它不僅能夠通過感染Windows可執行文件迅速在系統和本地網絡中傳播,而且功能強大——能夠通過遠程桌面會話控制受感染計算機系統、竊取個人數據,以及執行Web注入以竊取用戶的銀行數據。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
