快速发展的模块化
DanaBot木马
已经发生了新变化。 2019年1月末发布的版本实施了全新的通信协议,该协议为Trojan及其C&C服务器的通信添加了几级加密。 此外,DanaBot架构和广告系列ID也已更改。
DanaBot进化
在2018年5月被
发现为针对澳大利亚的垃圾邮件活动的一部分之后,DanaBot出现了许多其他攻击,包括
波兰,意大利,德国,奥地利和乌克兰以及
美国的垃圾邮件活动。 在欧洲的广告系列中,木马的功能已通过新插件和
垃圾邮件功能得到了增强。
1月25日,我们在遥测数据中发现了与DanaBot相关的异常可执行文件。 进一步检查发现,这些二进制文件确实是DanaBot的版本,但它们使用不同的通信协议与C&C服务器通信。 自1月26日以来,木马操作员已停止使用旧协议汇编二进制文件。
在撰写本文时,新版本的DanaBot已在以下两种情况下分发:
- 作为向DanaBot受害者提供的“更新”;
- 通过垃圾邮件(在波兰)。
新的通讯协议
在直到1月25日使用的协议中,未对数据包进行加密,如图1所示。
图1.数据包捕获,显示了旧协议以及未加密形式的数据完成后,DanaBot使用AES和RSA加密算法与C&C服务器通信。 新的通信协议更加复杂,因为它使用了多个加密级别,如下图所示。
图2.新的DanaBot通信协议的方案这些更改避免了使用现有网络签名进行检测,并使得很难为入侵检测和防御系统编写新规则。 此外,如果无法访问相应的RSA密钥,则无法解码已发送或已接收的数据包。 因此,来自基于云的分析系统(例如
ANY.RUN )的RSAP文件不适合进行研究。
图3.使用新的通信协议捕获数据包客户端发送的每个数据包都有一个24(0x18)字节的标头:
对于每个数据包,标头后跟由AES加密的数据包数据,然后是指示AES移位大小的4字节值,然后是由RSA加密的AES密钥。 所有数据包均使用不同的AES密钥加密。
服务器响应使用相同的格式。 与以前的版本不同,服务器响应中的程序包数据不对应于任何特定的结构(有些例外)。
数据包结构
Proofpoint在2018年10月详细描述了以前的包数据结构。 在最新版本的DanaBot中,对该方案进行了一些修改,如下图所示。
图4. DanaBot的新旧版本中的数据包数据结构比较DanaBot架构变更
除通信协议外,DanaBot的体系结构稍有更改。 该木马的早期版本包括一个下载并执行主模块的组件。 然后,主模块下载并执行了插件和配置。
在最新版本中,这些功能由新的引导程序执行,该引导程序用于下载所有插件以及主模块。 通过将引导加载程序组件注册为服务来确保持久性。
图5. DanaBot的新旧版本的体系结构比较队伍
根据分析,加载器组件使用以下命令:
- 0x12C-您好 从客户端发送到服务器的第一条命令
- 0x12D-加载32/64位启动器组件
- 0x12E-请求插件和配置文件列表
- 0x12F-加载插件/配置文件
使用从客户端ID获得的AES密钥对下载的插件和配置文件进行加密。 另外,插件使用LZMA压缩以ZIP格式存档,而配置文件使用zlib存档。
ID 0x130-0x134的命令由主模块发送:
- 0x130-将收集的信息传输到C&C服务器(例如,受害者计算机的屏幕截图;系统数据)
- 0x131-将收集的信息传输到C&C服务器(例如,受感染计算机的硬盘上的文件列表)
- 0x132-从C&C服务器请求其他命令。 后门通常有大约30个命令,包括启动插件,收集系统信息和更改客户端系统中的文件。
- 0x133-通过Tor代理更新C&C服务器列表
- 0x134-确切的目的地是未知的,很可能用于插件和C&C服务器之间的通信
更改广告系列ID
先前的研究表明,DanaBot以不同的ID分发。
在DanaBot的先前版本中,使用了
大约20个广告系列标识符 。 在最新版本中,标识符略有变化。 自2019年2月5日起,我们将观察以下ID:
- ID = 2显然是一个测试版本,可提供少量配置文件,无需进行网络注入
- ID = 3正在积极分发,针对波兰和意大利的用户,为波兰和意大利提供了所有配置文件和Web注入
- ID = 5为澳大利亚目的提供配置文件
- ID = 7仅适用于波兰,用于波兰语的网注射
- ID = 9,显然也是分发受限且没有特殊定位的测试版本,它提供了数量有限的配置文件,无需进行网络注入
结论
在2018年,我们从
分布和
功能方面观察了DanaBot的发展。 在2019年初,特洛伊木马经历了“内部”变化,表明其创建者的积极工作。 最新更新表明,DanaBot的创建者正在努力避免网络级发现。 该特洛伊木马程序的作者可能会注意已发表的研究,以便在产品开发人员获得安全性之前先对代码进行更改。
ESET产品检测并阻止所有DanaBot组件和插件。 检测名称在下一部分中给出。
危害指标(IoC)
新版本的DanaBot使用的C&C服务器84.54.37[.]102
89.144.25[.]243
89.144.25[.]104
178.209.51[.]211
185.92.222[.]238
192.71.249[.]51用于Web注入和重定向的服务器47.74.249[.]106
95.179.227[.]160
185.158.249[.]144哈希示例新的DanaBot版本会定期发布,因此我们只能提供部分哈希:
滴管
98C70361EA611BA33EE3A79816A88B2500ED7844 Win32 /
98C70361EA611BA33EE3A79816A88B2500ED7844引导程序(x86),ID = 3
0DF17562844B7A0A0170C9830921C3442D59C73C Win32 / Spy.Danabot.L
Bootloader(x64),ID = 3
B816E90E9B71C85539EA3BB897E4F234A0422F85 Win64 / Spy.Danabot.G
引导程序(x86),ID = 9
5F085B19657D2511A89F3172B7887CE29FC70792 Win32 / Spy.Danabot.I
自举程序(x64),ID = 9
4075375A08273E65C223116ECD2CEF903BA97B1E Win64 / Spy.Danabot.F
主模块(x86)
28139782562B0E4CAB7F7885ECA75DFCA5E1D570 Win32 / Spy.Danabot.K
主模块(x64)
B1FF7285B49F36FE8D65E7B896FCCDB1618EAA4B Win64 / Spy.Danabot.C
外挂程式RDPWrap
890B5473B419057F89802E0B6DA011B315F3EF94 Win32 / Spy.Danabot.H
E50A03D12DDAC6EA626718286650B9BB858B2E69 (x86)
E50A03D12DDAC6EA626718286650B9BB858B2E69 Win32 / Spy.Danabot.C
9B0EC454401023DF6D3D4903735301BA669AADD1 (x64)
9B0EC454401023DF6D3D4903735301BA669AADD1 Win64 / Spy.Danabot.E
嗅探器
DBFD8553C66275694FC4B32F9DF16ADEA74145E6 Win32 / Spy.Danabot.B
VNC
E0880DCFCB1724790DFEB7DFE01A5D54B33D80B6 Win32 / Spy.Danabot.D
TOR
73A5B0BEE8C9FB4703A206608ED277A06AA1E384 Win32 / Spy.Danabot.G