趋势科技最近攻陷了一个CARBERP命令与控制(C&C)服务器,此次使用了和我们今年三月攻陷另一个ZeuS C&C服务器的方法非常类似。本文将介绍我们在上述活动中所发现的一些问题。
基本上,Carberp的研究结果再一次证明,恶意软件作者擅长隐藏自己,并建立自己专用的秘密通讯管道。而且今天的企业和组织机构对处理这些问题并未做好充足准备,经常会由于未知的僵尸网络而泄漏了自己的私密数据。
据称,这个僵尸网络从2010年初就开始部署,但直到去年九月前都没有被人发现。信息安全网站Malware Intelligence在2010年2月的报告中指出,新型CAB文件增加了专门用来盗取数字证书、密钥,以及银行凭据的功能。另一家信息安全网站Trust Defender则在去年10月报导过,Carberp能够通过钩子(“Hooking”)技术将自己挂载到Wininet.dll和USER32.DLL库文件的输出表中,借此控制网络流量。信息安全网站Seculert.com则在今年2月初报导了如何生成专用的RC4密钥,以加密窃取到的资料。
不需要提高权限就可运作
Carberp C&C服务器具有可扩展功能,可以入侵某一版本Windows上的各种应用程序。首次有记录开始,Carberp僵尸网络通过post/set/first.html传出了所有正在运行的进程信息,随后通过post/set/plugs.html自动安装扩展,并通过post/set/task.html开始运行。
Carberp还能在普通用户权限下运行,并不需要更改注册表或系统文件。它利用了文件系统本身的功能将自己隐藏起来。Carberp与多应用程序一样,都会添加一个自动运行的快捷方式,另外还可以伪造网站,记录键盘敲击,并利用不同编码方式创建加密的通讯管道。
C&C流量中的发现
Carberp僵尸网络的C&C服务器被置换成了只有登录连接但没有提示后续信息交换的服务器。这个假Carberp C&C服务器也没有使用IPv6地址,这可能是一个错误。跟解析IPv4地址的计算机相比,绝大部分的受害者的计算机都会尝试解析IPv6地址。而且后续的HTTP连接也很少。从这一点看来,不完整的C&C信息交换可能导致传送机密信息的通讯被转送到其他地方,透过设定挡掉,或阻止传送。
为什么是这些目标?
我们联系了特定C&C服务器所监控的Carberp感染计算机的主人,但在缺乏破坏情况的详细信息情况下,C&C服务器选择这些受害人的原因就只能依靠猜想了。
