CARBERP命令與控制服務(wù)器又被攻陷

CARBERP研究結(jié)果又再一次證明惡意軟件作者更會(huì)隱藏自己和建立自己專用的秘密通訊管道。而且今天的機(jī)構(gòu)們對(duì)處理這些問題是準(zhǔn)備不足的，如同之前未偵測(cè)的泄漏了私密資料。

據(jù)稱，Botnet從2010年年初就開始部署了，但直到去年九月前都避免被注意到。Malware Intelligence在2010年2月的報(bào)告指出新型CAB檔案增加了專門用來盜取證書（“certificates”），密鑰（“keys”）和銀行憑證（“banking credentials”）的功能。

Trust Defender在去年10月報(bào)導(dǎo)CARBERP能夠經(jīng)由掛勾（“hooking”） Wininet.dll和USER32.DLL的輸出函式表（“export table”）來控制網(wǎng)路流量。Seculert.com在今年2月初報(bào)導(dǎo)了如何生成專用的RC4密鑰來加密竊取的資料。

不需要提高權(quán)限就可運(yùn)作

CARBERP C&C服務(wù)器具備有可擴(kuò)充功能的設(shè)計(jì)，可以入侵某一版本W(wǎng)indows上的多種應(yīng)用程式。從第一次記錄開始，CARBERP僵屍網(wǎng)路/傀儡網(wǎng)路 Botnet經(jīng)由post /set/first.html傳出了所有正在運(yùn)行的程序（“processes”），然後透過post /set/plugs.html來要求套件（“Plug-ins）或是透過post /set/task.html來取得任務(wù)。

CARBERP還能夠在使用者權(quán)限下運(yùn)作，而不需要去更改注冊(cè)表或系統(tǒng)檔案。它利用了檔案系統(tǒng)本身的功能去隱藏自己。CARBERP跟很多應(yīng)用程式一樣都會(huì)新增一個(gè)啟動(dòng)捷徑，也可以假造網(wǎng)站，鍵盤側(cè)錄，并利用編碼訊息來建立秘密通信管道。CARBERP可以經(jīng)由找到聯(lián)結(jié)不存在檔案的程序而發(fā)現(xiàn)。

從C&C流量中的發(fā)現(xiàn)

一個(gè)CARBERP攻擊的C&C服務(wù)器被置換成了只有登錄連接但沒有提示后續(xù)資訊交換的服務(wù)器。這個(gè)假CARBERP C&C服務(wù)器也沒有使用IPv6地址，這可能是一個(gè)錯(cuò)誤。跟解析IPv4位址的電腦比起來，絕大部分的受害者電腦都會(huì)嘗試去解析IPv6位址。而且之後的HTTP連接也很少。從這一點(diǎn)看來，不完整的C&C資訊交換可能導(dǎo)致傳送機(jī)密資訊的通訊被轉(zhuǎn)送到其他地方，透過設(shè)定擋掉，或阻止傳送。

為什么是這些目標(biāo)？

我們聯(lián)絡(luò)了特定C&C服務(wù)器所監(jiān)控的CARBERP感染電腦的用戶，沒有了那些可能已被破壞的詳細(xì)資訊，為什么這些特定的受害者是這C&C的服務(wù)器的目標(biāo)就只能是個(gè)猜想。

CARBERP命令與控制的相關(guān)敘述還有很多，請(qǐng)有興趣的讀者多多關(guān)注這方面的內(nèi)容，我們也會(huì)繼續(xù)關(guān)注的。

【編輯推薦】

1. 網(wǎng)絡(luò)安全的靈魂之安全策略
2. 混合交付：云只是路徑之一
3. "應(yīng)用"是王道 錦囊妙計(jì)謀安全
4. WatchGuard加強(qiáng)電子郵件安全應(yīng)用