素材
Threatpost
解读
二进制01
喜欢编程的朋友都会接触到python这个语言,它具有丰富的库,在众多领域都活跃着它的身影,网络安全就是其中之一。
日前,一个专门攻击金融科技公司的组织『Evillum』开发了新的木马:基于python的远控木马,名为PyVil。
我们一起来具体了解一下吧。
——研究报告——
以色列安全公司『Cyberreason』的研究人员概括了PyVil的功能:分析及过滤数据、键盘记录和截图,并可以收集一些“凭证信息”,如LaZagne(一种用于检索存储在本地计算机上的密码的开源应用程序)。
LaZagneEvillum最早出现在年,通过一个JavaScript恶意软件“出道”。此后,它开发了各种用JavaScript和C#编写的组件。这次改用python写木马,可以说Evillum又进一步拓展了自己的“业务”。
——PyVil——
PyVil木马是用py2exe编译的。(py2exe是一个Python库,可以将Python脚本转换成windows的可执行文件)。这使木马能够下载新模块来扩展功能。
py2exe内部的Python代码被额外的代码层混淆,以防止工具对其进行反编译。使用内存转储,我们能够提取Python代码的第一层,第一层代码对Python代码的第二层进行解码和解压缩,第二层Python代码对主代码和导入的库进行解码并加载到内存中。”
代码第一层代码第二层PyVil木马还有一个配置模块,用于保存恶意软件的版本、命令和控制(C2)域以及与C2通信时使用的浏览器的指令。据分析,C2通信通过POST-HTTP请求完成,并使用Base64编码的硬编码密钥进行RC4加密。
配置模块rc4密钥PyVil木马有很多功能命令,包括:键盘记录并;运行CMD命令;删除和上传其他Python脚本和可执行文件;进行SSH连接;收集安装的防病毒软件、Chrome版本和连接的USB设备等信息。
这些功能都被申明为Global变量,可以清晰地看到。
Evillum的C2建设还在增长和扩展。
研究人员解释:“C2的ip地址每隔几周就会改变一次,但与这个IP地址相关联的域名列表却在不断增长。”
“几周前,PyVil相关的三个域被解析到同一个IP地址。此后不久,这三个域的c2ip地址都发生了变化,三个新的域名注册了相同的IP地址。几周后,这种变化再次发生。所有域的解析地址在几天内都发生了变化,并添加了三个新域。”
——木马的潜入——
在PyVil登上舞台之前,Evillum一直在部署C#木马。通过钓鱼邮件提供包含LNK文件的ZIP,这些LNK文件伪装成不同文档的照片,例如驾驶执照,信用卡和公用事业账单。这些文件是被盗的,属于真实个人。
一旦打开LNK文件,它将启动JavaScript木马,后者又将LNK文件替换为真实的图像文件,从而使整个操作看起来正常。JS木马进一步下载C#木马进行更多操作。
之后Evillum改变了攻击方式。Evillum把LNK文件伪装为PDF,启动一个JavaScript木马,该JS没有C2功能,而是触发一个定时任务,这个定时任务提取LNK文件中的“ddpp.exe”,“ddpp.exe”下载“fplayer.exe”,其承担下载python木马、提取凭证密码的作用。
可以看到,python真的很好用,写的木马都很简洁。你是否也想写个木马过过瘾呢?