更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月12日訊 據安全公司 G Data 近期一份報告稱,最近發現的遠程訪問木馬 SocketPlayer 正在使用一個專門的程序庫 socket.io,操作者可以此與被感染的設備進行交互,而不需要“信標” 消息。
常規銀行木馬只單向通信
SocketPlayer 後門與大多數使用典型單向通信系統的銀行木馬、後門及鍵盤記錄程序不同,它通過使用 socket.io 庫,可在應用程序之間實現實時的雙向通信,根據這個特性,惡意軟件處理程序不再需要等待被感染的設備啟動通信,攻擊者可以自行聯繫被感染的計算機。
據稱,後門 SocketPlayer 一旦在被入侵的機器上安裝成功,便能接收操作者的命令並執行各種操作,如嗅探驅動器、屏幕截圖、抓取和運行代碼等。研究人員還發現,SocketPlayer 還能夠選擇性採用其他功能,例如,作為鍵盤記錄器,儘管在後門中沒有實際的鍵盤記錄功能。目前看似還沒有過具體使用情況。
SocketPlayer感染路徑
後門 SocketPlayer 的感染路徑始於 downloader 的沙盒系統檢測,如果通過檢測,downloader 會下載一個可執行文件並進行解密,然後使用 Invoke 方法在內存中運行該解密程序。
被調用的程序會為宿主創建一個套接字連接(宿主為http://93.104.208.17:5156/socket.io),同時還要創建一個可實現持久化的註冊表鍵。接下來檢查是否存在 Process Handler/ folder,如果沒有,就需要創建一個。之後,還需創建一個值為“Handler”的自動啟動鍵。
此外,SocketPlayer 還會下載另一個可下載 SocketPlayer 的可執行文件,解密並在內存中運行。
兩個變種
G Data 的安全研究員在研究過程中發現了 SocketPlayer 後門的兩個變種:
第一個變種是一個大約100kb的文件,用以充當可從網站上執行任意代碼的 downloader;
第二個變種則具備更復雜的功能,包括檢測和規避沙箱機制。
據 G Data 的技術報告稱,SocketPlayer 的第一個變種的第一個樣本已於3月28日首次提交給 VirusTotal(免費的可疑文件分析服務網站),並在3月31日提交了該變種的第二個樣本。此外,SocketPlayer 的第二個變種也存在兩個版本。
安全研究人員注意到,SocketPlayer 的兩個變種之間經歷了一系列的變化,包括:
命令和控制(C&C)端口
文件位置
初始流程所發送的信息
在服務器中新添加了命令
在惡意軟件中新添加功能
upldex 的存儲位置等
惡意軟件通過某印度網站分發
報告顯示,已知的惡意軟件樣本通過一個印度網站進行分發,但尚不清楚後門如何傳播。但無論該網站是用於感染目的還是隻是用於鏡像,顯然該惡意軟件在很長一段時間內都未被注意到。
閱讀更多 E安全 的文章
