注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

多家企业网络入侵事件传言的同源木马样本分析报告  

2010-01-29 09:32:30|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

第一章 攻击事件源起

    根据有关事件传言,多家国际大型企业网络遭受了入侵攻击,对此,相关报道、媒体以及网络传言都有不同说法,从相关消息汇总来看,其中相对有依据的说法来自几家国际安全厂商,包括Symantec、Mcafee、TrendMacro等,综合根据各厂商已经发布的分析报告和有关报道,较多的结论是相关企业的工作人员受到针对客户端程序的0 Day漏洞攻击(业内主要认为是IE浏览器相关漏洞,这个漏洞已经被命名为“极光”),并进而被植入了木马。

第二章 攻击采用的漏洞分析

    根据有关描述,安天认为所捕获到的有关漏洞利用代码与有关资料描述的攻击方法是一致的。攻击方法都是利用被称为极光的IE 0day漏洞,并对有关代码采用了javascript加密变形,在常见的堆喷射技术的利用代码部分进行了变换,使得堆喷射代码只有在javascript运行后才能看到。其中比较特殊的是采用了String.fromCharCode(sss[i]/7)手段对堆喷射代码进行变形成为数字数组形式,使静态检测堆喷射代码检测困难。

    但需要指出的是,脚本加密方法是当前网页木马的常规技术手段,整体来看这个攻击的代码的加密复杂程度有被夸大的倾向,实际上相关加密并不难于分析还原。下面是部分代码截图:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

第三章 攻击样本分析

    安天实验室在此事件过程中并未与相关企业建立直接的联系,相关样本集的主要判定依据是通过使用Mcafee、Symantec所发布资料中对相关样本的命名检索安天样本库的对照命名,并验证有关样本行为基本符合目前相关厂商公开发布文档有关描述。截至到2010年1月26日,安天根据上述病毒对照名称、基因片段关联、行为辅助验证和调用关系,共筛选出关联样本13个进行细粒度分析(其中两个样本直接来自境外反病毒厂商提供),其中3个为PE可执性程序,10个为PE动态链接库。经关联分析确认,3个可执行程序的基本功能逻辑完全一致,最典型行为即:均释放在资源节中部分加密存储的名为Rasmon.dll的动态链接库;而有7个样本原始文件名均为Rasmon.dll,经验证此7个文件基本功能逻辑完全一致,其差异主要是反向连接的外部地址不同等配置差异,且均可加载acelpvc.dll,而acelpvc.dll又进一步加载VedioDriver.dll。因此可以判定3个可执行程序是相关2进制样本的关系逻辑的原点。
但由于缺少实际场合验证,且与目前公开资料所公布的一些控制域名指向因被2级域名服务商屏蔽发生变化,安天无法确定相关样本就是相关事件中的样本,只能说明相关样本存在较大的同源性关系。

MD5

样本原始文件名

病毒名

文件类型

1B59487D4DC029D92B61ABD4F69C9923

30755.malware*

安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq

PE可执行程序

9F880AC607CBD7CDFFFA609C5883C708

b.exe*

安天:Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq

PE可执行程序

BCBEF5AB2C75C171FEDCCA0A33BCF7F7

1.bin*

安天:Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq

PE可执行程序

32CC9F9DA93DD4E9FD3D203881197CBF

Rasmon.dll

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq

PE动态链接库

BBE6FE27D503DA9B1F1C30ADAA40730E

Rasmon.dll

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

PE动态链接库

0F9C5408335833E72FE73E6166B5A01B

Rasmon.dll

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

PE动态链接库

2CFCD8C34F22FFB772C99C9293C21BDA

Rasmon.dll

安天:Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

PE动态链接库

3A33013A47C5DD8D1B92A4CFDCDA3765

Rasmon.dll

安天:Trojan/Win32.Genome.epow
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

PE动态链接库

4A069A20B8262B20E7440C8AB9C54E11

Rasmon.dll

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

PE动态链接库

80FC413CF908CD4506C3F790E484822E

Rasmon.dll

安天: Trojan/Win32.Genome.eqqr
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

PE动态链接库

4A47404FC21FFF4A1BC492F9CD23139C

acelpvc.dll

安天: Trojan/Win32.Genome.eraf
McAfee: Roarur.dll
Symantec: Trojan.Hydraq

PE动态链接库

467EEF090DEB3517F05A48310FCFD4EE

VedioDriver.dll

安天: Trojan/Win32.Agent.bcvj[Spy]
McAfee: Roarur.dll
Symantec: Trojan.Hydraq

PE动态链接库

BA3545841D8A40ED8493E22C0E70A72C

c_1758.nls*

安天: Trojan/Win32.Genome.eqgc
McAfee: Generic.dx
Symantec: Trojan.Hydraq

PE动态链接库

    上述带有*标志的相关程序,由于其没有VERSION信息且并非从现场采集,其现场文件名已不可考。采用的是安天获得该样本时的文件命名,其中30755.malware名字从风格看是采用其他厂商的病毒命名作为文件名。下面是样本来源和衍生关系图谱(关于相关样本的更多细节,可以查看附表一):

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋
样本提取来源关系图

    根据已经描述的样本间的衍生和调用关系,可以基本描绘出相关攻击和恶意代码样本的整体作用流程和因果关系为:受害用户通过IE浏览相关攻击页面后,被注入执行PE可执行样本,相关样本运行后创建rasmon.dll文件到%System32%目录下并动态加载,释放批处理文件删除该PE可执行文件。rasmon.dll加载acelpvc.dll,成功加载后acelpvc.dll会继续调用VedioDriver.dll,在rasmon.dll运行后便会尝试连接网络,接受控制。整体逻辑如下图所示:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

    由于样本集中的3个可执行文件基本功能逻辑完全一致,且样本中的各rasmon.dll的功能相同,所以下面以BCBEF5AB2C75C171FEDCCA0A33BCF7F7样本为主展开进行综合分析:

3.1 PE可执行样本的本地行为

1、相关PE可执行文件运行后会释放以下文件
%System32%\Rasmon.dll

2、创建注册表服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\ImagePath
值: 字符串: “%SystemRoot%\Sys-k netsvcs.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\ObjectName
值: 字符串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Parameters\ServiceDll
值: 字符串: “c:\windows\system32\rasmon.dll.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Type
值: DWORD: 32 (0x20)

3、开启svchost.exe进程将Rasmon.dll注入到进程中创建一个线程向病毒作者地址发送数据,使控制者可以对被感染的用户进行远程控制等相关操作。

3.2 PE可执行样本的网络行为

协议:TCP
主动连接远程443端口发送数据并等待回复
当前域名解析后IP地址已经被相关免费2级域名服务商指向:127.0.0.2,已经不具有分析价值。
描述:连接到该域名等待接收病毒作者发送的控制指令

3.3 衍生样本Rasmon.dll的功能分析

    病毒运行后开启6个线程,分别对文件数据进行操作,允许远程攻击者进行监测、窃取等操作。
    远程攻击者可以对受控系统做如下操作:

  1. 检查进程和服务的状态、控制和关闭进程与服务。
  2. 创建、修改和删除注册表项与键值。
  3. 读、写、执行、复制、删除等文件操作。
  4. 重启和关闭计算机系统。
  5. 收集受控系统信息,如:IP地址、计算机名、操作系统版本、内存大小等。
  6. 清除系统事件日志。

病毒的衍生文件rasmon.dll创建文件%temp%\1.tmp:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

并检测是否存在%system32%\acelpvc.dll,如果存在则加载:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

并调用EntryMain()入口:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

由acelpvc.dll导入%system32%\VedioDriver.dll。调用%system32%\drivers\etc\networks文件中的信息。
尝试下载远程文件到本地并重命名为mdm.exe并执行(地址已失效) 。
攻击者可以利用VedioDriver.dll相关功能模块对受控系统进行监视用户界面活动。
发送数据:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

数据格式如下:
+00 DWORD MajorCode
+04 DWORD MinorCode
    +08 DWORD SubCode
    +0C DWORD ExtraSize
    +10 WORD  ExtraChecksum
    +12 BYTE  ExtraKey
    +13 BYTE  Padding

接收14字节数据(已失效),如接收失败则删除临时目录下的1.tmp:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

尝试连接360.homeunix.com, 该域名已经被相关免费2级域名服务商被指向:127.0.0.2

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

3.4 acelpvc.dll、VedioDriver.dll的同源关系确认

    相关国外厂商在命名中对acelpvc.dll、VedioDriver.dll与可执行主程序与Rasmon.dll采用了同一命名,这是一种以事件归一性为准的命名方法,实际上acelpvc.dll、VedioDriver.dll与其他样本明显不具有代码同源性,经acelpvc.dll与VedioDriver.dll分析确认发现,这一个VNC型后门。

    VNC(Virtual Network Computing)是由Olivetti & Oracle实验室开发的开源远程管理软件,后此实验室被AT&T收购,2002年AT&T终止了项目更新。由于该项目遵循 GPL协议,因此后续衍生出了RealVNC、TightVNC、UltraVNC、Vine Viewer等多个版本。

    VNC拥有较大的用户基数,其Server端运行后有可控托盘图标,因此并不是一个后门程序。但由于其开放源码,2000年已经发现有通过修改功能代码、屏蔽掉托盘图标的后门,之后利用VNC源码进行改造的后门呈现出家族化趋势。2003年3月8日被安天捕获,并引发业内广泛关注的口令蠕虫(Worm/Win32.Dvlodr)也正是以此为后门。
样本中VedioDriver.dll包含(auroraVNC)编译路径,如下图。

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

    由http://www.realvnc.com/下载VNC程序,其中文件wm_hooks.dll与acelpvc.dll文件逻辑有一定相似性。

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

1. Wm_hooks.dll相似代码处:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

acelpvc.dll相似代码处:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

2. Wm_hooks.dll调用.NET Framework相关组件文件及函数代码处:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

acelpvc.dll调用.NET Framework相关组件文件及函数代码处:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

VedioDriver.dll编译路径:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

由此相关分析可得出:acelpvc.dll与VNC文件中的Wm_hooks.dll有部分代码功能相同,但并未完全具有VNC的所有功能。

3. acelpvc.dll的逆向代码功能与VNC功能代码有相同之处。

VNC查找的窗口类名部分源代码:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

acelpvc.dll注册窗口类创建窗口与VNC查找的类名相匹配:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

3.5 acelpvc.dll、VedioDriver.dll的功能分析

acelpvc.dll检测受控端是否是屏幕保护状态,如果是则发送关闭屏幕保护消息:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

注册窗口类:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

调用VedioDriver.dll更新窗口图像:

多家企业网络入侵事件传言的同源木马样本分析报告 - 苗得雨 - 苗得雨:网事争锋

acelpvc.dll、VedioDriver.dll的功能具有VNC的相关功能,可以被远程监视窗口活动。

3.6 样本使用的域名分析

    上述样本的控制跳板定向为免费2级域名,这是当前远程控制木马广泛使用的技术手段,由于免费2级域名申请相对简单,且不产生支付环节,使攻击者的成本降低,隐蔽性提高。

    安天通过行为分析系统与人工分析结合提取了目前样本集合所使用的五个域名。其中除了一个已经失效域名,都是免费2级域名服务商所提供的动态2级域名。相关服务商已经进行了上述指向处理,目前相关木马已经无法与控制服务器连接。这可能是有关国家应急响应(CERT)体系同一的协调响应的结果。

域名

被指向的IP地址

IP地址属地

bl88.webhop.org

127.0.0.1

本地(被服务商屏蔽)

blog1.servebeer.com

127.0.0.2

本地(被服务商屏蔽)

www.ccmp1.com

域名失效

域名失效

360.homeunix.com

127.0.0.1

本地(被服务商屏蔽)

sl1.homelinux.org

127.0.0.2

本地(被服务商屏蔽)

目前分析样本集中所提取到的域名

    安天提取到的域名信息与目前境外厂商公开资料域名有所差异,这说明相关恶意代码有更多的变种或被加工、定制的版本,根据目前全部公开资料整理的域名结果集来看,尚有19个域名与安天目前分析到的5个域名不重合,根据目前每一个定制版本都对应一个不同域名的规律,应该至少有19个样本不在本次分析的样本集合中。这可能由于安天没有捕获到相关样本,也可能由于安天对照命名更新机制有一定滞后性,有的样本安天捕获入库时其他厂商尚不能检测,因此没有对照命名没有提取到。

    同时各厂商和网络安全组织可查阅公开资料也表明,部分在此次事件中出现的域名也在其他类型攻击中被发现(如Microsoft  Registry  Cleaner与Security Lab所公布的adobe flash player的攻击事件),通过上述关联基本可以看出,相关攻击事件存在一定的时间跨度和关联。当然地下经济体系的各种资源有一定的可置换交易性,同时也不能排除免费域名注册者账户密码被窃取、或者被猜测到的各种可能。因此也并不能绝对确认上述攻击与本次事件绝对系同一源头。

第四章 结论

    在本事件中攻击者主要依托客户端程序的0day漏洞,实现可执行木马注入,并加载远程控制等其他功能模块,其后利用免费2级域名为控制跳板,实施相关行为。

    综合相关样本集合分析结果与网络资料汇总分析表明,这是一组有时间跨度的、有覆盖范围的关联型攻击事件。相关事件样本的同源性可以得到确认。但由于当前全球地下经济体系漏洞、恶意代码和地下资源的产业链条的存在,漏洞的POC和exploit代码、恶意代码源码和加工的版本、肉鸡(跳板)、其他可利用空间和代理等,都在被广泛的交易或共享,代码同源性分析只能作为事件存在关联的判据,在没有有关网络行为有效辅证的情况下,难以对攻击的同源性进行确认。

    同时根据安天 CERT了解到的情况,各个反病毒公司都捕获到了一定基数的相关样本,而非全部来自现场定向提取,这使相关事件是一组定向型攻击,还是广泛的攻击事件,或者兼而有之,很难做出有效判定。加之有关分析时效性所限较长,场景难于追溯复现,而传言受到入侵的有关公司亦没有公布更多有效信息,这都使进一步分析工作已经缺少进展的空间。

  第5章 安天的建议与思考

    目前针对内网体系的入侵,其原点更多的来自针对客户端应用的攻击,攻击的焦点多数集中于IE、Firefox浏览器等浏览器、office、Adobe PDF Reader等文档浏览和编辑工具等。对windows用户来说,牺牲部分兼容性将Windows DEP保护设置从保护默认的仅为基本的windows程序和服务使用调整到为所有程序和服务使用,是我们能看到的最具有普遍性的方法。同时兼容性问题一定程度上可以靠设置例外解决。但对于具有安全诉求的个人用户来说,需要知道,打开反病毒实时监控便可以畅行网络的时间段已经终结,尽管系统UAC和主动防御产品的交互的确构成了对用户的打扰,但安全必然要付出方便性的代价。(关于如何配置实现,参看附录链接)
    而对企业网络来说,IT部门必须把维护的重点从关键服务器扩展到终端,一旦终端被突破,不仅其上的资料损失,而且会成为内部攻击的跳板,而终端用户的网络认证身份和权限,则完全被攻击者获取。仅凭出口UTM/IDP,很难阻塞到0DAY的攻击,网管需要补充更多的手段,以获取主机的异常和内网访问轨迹的变化。这使网管需要更多的精力对类似内网IDS日志和其他访问日志予以更密切的关注。
    同时,类似 “浏览网页、打开文档文件与运行可执行程序一样是有风险的”安全常识的广泛普及尤为同样重要,很多企业的还把安全建立在简单的防病毒的早期规定,很多用户还完全不知道“静态文件”的风险。
    同时不可否认,对于自由接入Internet的企业和机构的来说,将整体或者关键部门的网络与Internet断开,会严重的影响交流和效率,但对于安全诉求高于方便诉求的企业和部门,这确实是最后的措施。这种网络“隔离”不是鸵鸟政策,不是内部IT和CERT无能的表现,而是最不情愿的最终方案。
    相关事件传言涉及的企业中涉及到了互联网、软件开发等国际领导厂商,甚至包括了主流安全厂商。有关事件再次反馈出整个互联网体系的脆弱,相关案例说明,在网络世界中,不仅是那些普通用户与安全投入不足的中小企业缺乏保障,即使是有成熟的安全体系,严格的管理制度,成建制的安全投入的大型企业与机构,包括安全企业本身,也都难以保障自己的安全。
    在互联网的童年时代,系统攻防更多的集中于开放的服务端口,相对单一的防护和关注,能解决主要问题。而今随着主流操作系统本身的安全性的提升,安全威胁开始泛化到客户端的应用,不论是浏览、下载、聊天等网络网络行为,还是打开视频、音频等媒体文件、文档文件这样的本地交互,都可能是引入风险的过程,甚至包括编程环境对特定工程的编译、协议分析工具打开构造的数据包镜像,都会遭遇溢出。
    在过去的几年,主流操作系统和软件厂商为改进安全响应能力做出了巨大的努力,充分缩短了从漏洞发现到补丁推出的时间,但相关情况说明,将安全维完全系于第一时间打补丁,就意味着在漏洞曝光前的潜伏期内,掌握0Day漏洞的攻击者可以像相关入侵事件传言的那样畅通无阻。
    微软等厂商为了确保产品的稳定可靠,采用每月定时打补丁的整体策略,这是可以理解的,但对于类似“极光”等严重漏洞曝光后,微软打破模式,采用紧急单独发布补丁的应变态度更值得肯定。
    同时也需要关注的是,有关厂商面临庞大的用户基数带来的运维压力,导致厂商必须在补丁升级中考虑的负载均衡策略,但这也让用户从补丁出现到打完补丁的时间间隔变得更长,这使基于补丁文件的差异点分析溢出点,然后对尚未打补丁的用户进行攻击的1Day攻击可以大行其道。但相对对厂商的承载能力来说,如果让所有用户同时升级,则一方面可能面临带宽饱和、服务阻塞,结果所有用户都打不上补丁的情况出现;同时一旦补丁中有新的问题,则要承担更大的压力。这确实是两难的选择。
    而更困难的局面在于,目前的漏洞分析挖掘的注意点已经不集中于主流厂商,而开始普遍扩散。而缺少安全规范、不能承担安全响应体系投入的中小型软件开发和互联网服务商,势必沦为集体性重灾区。有限的开发人员或者无力解决安全漏洞、或者对攻击浑然不觉、或者在开发与修补间疲于奔命。而大量在攻击和木马方面的小众事件也会最终分散和耗尽安全厂商的应急和分析人力。而正如我们过去一年所看到的,一方面部分公众还根据传言猜忌着反病毒厂商是不是也编写病毒,而各个反病毒厂商却都默默承受着庞大的地下经济体系所构造的千万级别的样本压力。如此推演,这虽然仍然将是一个更多人渴望向往、趋之若鹜的互联网,但也会沦为一个从业企业到网民人人自危的互联网。
    作为安全厂商,我们期待公众和用户对于安全予以更多关注和投入,但我们深知如果更多用户的网络接入价值更多的被对安全的关注和投入抵消,那么网络产业的继续发展就会被阻塞。这正是安全厂商都积极的寻求让用户更小的投入获取更大的安全价值的原因。但无疑,仅靠安全厂商的力量,包括仅靠主流操作系统、设备和应用厂商的力量,都不足以拯救互联网可能在若干年后面对的安全困局。我们期待更广泛的协同、互动、合作、响应来遏制安全威胁的泛化。我们期待安全与丰富和精彩的内容与交互一样,成为互联网用户的基本体验。

附录

附录一:相关样本属性信息表
样本1(*)

MD5

1B59487D4DC029D92B61ABD4F69C9923

文件大小

34,816 字节

原始文件名

30755.malware

对照命名

安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq

壳/编程语言

UPX 0.89.6 - 1.02 / 1.05 - 1.24(Microsoft Visual C++ v7.1)

时间日期戳

2009-7-21 7:38

控制端服务器域名

bl88.webhop.org

备注

(可执行样本)/原始命名无可考,该名字系提交者的命名

样本2(*):

MD5

9F880AC607CBD7CDFFFA609C5883C708

文件大小

34,816 字节

原始文件名

b.exe

对照命名

安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq

壳/编程语言

UPX 0.89.6 - 1.02 / 1.05 - 1.24(Microsoft Visual C++ v7.1)

时间日期戳

2009-7-21 7:38

控制端服务器域名

360.homeunix.com

备注

(可执行样本)/原始命名无可考,该名字系提交者的命名

样本3(*):

MD5

BCBEF5AB2C75C171FEDCCA0A33BCF7F7

文件大小

34,817 字节

原始文件名

1.bin

对照命名

安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq

壳/编程语言

UPX 0.89.6 - 1.02 / 1.05 - 1.24(Microsoft Visual C++ v7.1)

时间日期戳

2009-7-21 7:38

控制端服务器域名

360.homeunix.com

备注

(可执行样本)/原始命名无可考,该名字系提交者的命名

样本4:

MD5

32CC9F9DA93DD4E9FD3D203881197CBF

文件大小

81,920 字节

原始文件名

Rasmon.dll

对照命名

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq

壳/编程语言

Microsoft Visual C++

时间日期戳

2009-5-16 18:15

控制端服务器域名

sl1.homelinux.org

域名IP地址国家

69.164.192.40(美国)

样本5:

MD5

BBE6FE27D503DA9B1F1C30ADAA40730E

文件大小

81,920 字节

原始文件名

Rasmon.dll

对照命名

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

壳/编程语言

Microsoft Visual C++

时间日期戳

2009-5-16 18:15

控制端服务器域名

sl1.homelinux.org

域名IP地址国家

69.164.192.40(美国)

样本6:

MD5

0F9C5408335833E72FE73E6166B5A01B

文件大小

90,112 字节

原始文件名

Rasmon.dll

对照命名

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

壳/编程语言

未知

时间日期戳

2009-7-21 7:38

控制端服务器域名

360.homeunix.com

样本7:

MD5

2CFCD8C34F22FFB772C99C9293C21BDA

文件大小

90,112 字节

原始文件名

Rasmon.dll

对照命名

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

壳/编程语言

Microsoft Visual C++ v7.1

时间日期戳

2009-7-21 7:38

控制端服务器域名

bl88.webhop.org

样本8:

MD5

3A33013A47C5DD8D1B92A4CFDCDA3765

文件大小

90,112 字节

原始文件名

Rasmon.dll

对照命名

安天: Trojan/Win32.Genome.epow
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

壳/编程语言

Microsoft Visual C++ v7.1

时间日期戳

2009-12-16 12:55

控制端服务器域名

blog1.servebeer.com

样本9:

MD5

4A069A20B8262B20E7440C8AB9C54E11

文件大小

90,112 字节

原始文件名

Rasmon.dll

对照命名

安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

壳/编程语言

Microsoft Visual C++ v7.1

时间日期戳

2009-7-21 7:38

控制端服务器域名

www.ccmp1.com

样本10:

MD5

80FC413CF908CD4506C3F790E484822E

文件大小

90,113 字节

原始文件名

Rasmon.dll

对照命名

安天: Trojan/Win32.Genome.eqqr
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1

壳/编程语言

未知

时间日期戳

2009-7-21 7:38

控制端服务器域名

360.homeunix.com

样本11:

MD5

4A47404FC21FFF4A1BC492F9CD23139C

文件大小

136,704 字节

原始文件名

acelpvc.dll

对照命名

安天: Trojan/Win32.Genome.eraf
McAfee: Roarur.dll
Symantec: Trojan.Hydraq

壳/编程语言

ASPack 2.12

时间日期戳

2006-6-7 11:41

样本12:

MD5

467EEF090DEB3517F05A48310FCFD4EE

文件大小

8,192 字节

原始文件名

VedioDriver.dll

对照命名

安天: Trojan/Win32.Agent.bcvj[Spy]
McAfee: Roarur.dll
Symantec: Trojan.Hydraq

壳/编程语言

Microsoft Visual C++ 6.0 DLL

时间日期戳

2006-5-24 1:32

备注

(可能下载的PE文件)

样本13(*):

MD5

BA3545841D8A40ED8493E22C0E70A72C

文件大小

20,480 字节

原始文件名

c_1758.nls

对照命名

安天: Trojan/Win32.Genome.eqgc
McAfee: Generic.dx
Symantec: Trojan.Hydraq

壳/编程语言

Microsoft Visual C++ 6.0 DLL

时间日期戳

2006-8-15 22:18

   
注:1、上述带*的相关程序,由于其没有VERSION信息且并非从现场采集,其现场文件名已不可考。
2、其中大部分控制域名已经失效,其屏蔽基本是由对应免费域名的公司自行屏蔽的。
3、样本列表中rasmon.dll的编译时间为2009-5月、7月、12月3个时间段。
附录二:参考资料链接

1.Symantec有关本次事件分析链接:

http://www.symantec.com/connect/blogs/trojanhydraq-incident-analysis-aurora-0-day-exploit

2.McAfee有关本次事件分析链接:

http://www.mcafee.com/us/threat_center/operation_aurora.html

3.TrendMicro 有关本次事件分析链接:

http://us.trendmicro.com/us/trendwatch/current-threat-activity/zero-day-attacks/index.html?WT.seg_2=2009HP_Alert_TW_ZeroDay

4.ESET有关本次事件分析链接:

http://www.eset.com/threat-center/blog/2010/01/21/operation-aurora-%e2%80%93-history-repeats

5.有关安全组织的分析链接

http://www.threatexpert.com/report.aspx?md5=7ee6628b8caeef57607e5426261b8c0c
http://blog.fireeye.com/research/2009/07/who-is-exploiting-the-flash-0day.html

6.Microsoft  Registry  Cleaner与Security Lab有关adobe flash player漏洞攻击分析链接:
http://en.securitylab.ru/viruses/382837.php
http://www.registrycleanergeeks.com/trojan/trojanpidiefg/

  评论这张
 
阅读(745)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017