新型僵尸程序Trojan.Ferret被發(fā)現(xiàn)
研究人員發(fā)現(xiàn)一種名為Trojan.Ferret的僵尸程序。該程序用Delphi編寫,bot通過HTTP與CC通信 。
該僵尸程序最大的特點(diǎn)是具有強(qiáng)大的生存能力。Bot程序支持UPX打包,字符串混淆,虛擬機(jī)識(shí)別,反調(diào)試,自修改代碼等(UPX packing, string obfuscation, anti-virtual machine and anti-debugging measures, self-modifying code and process hollowing)。
Trojan.Ferret采用兩種方法混淆,結(jié)合base64和異或(XOR)加密,來(lái)掩蓋攻擊者的攻擊手段。不同加密密鑰被用于惡意代碼庫(kù)的不同部分。兩種混淆手段,一種用來(lái)加密惡意代碼串,另一種用來(lái)隱藏與CC控制臺(tái)的通信。
Trojan.Ferret程序的不足在于其對(duì)DDoS的支持并不全面,工具不支持諸如Slowloris, Apache Killer等應(yīng)用層攻擊。顯然,Trojan.Ferret并不適合發(fā)起混合型DDoS攻擊。
無(wú)獨(dú)有偶,在本周,波蘭CERT發(fā)現(xiàn)了另一個(gè)可感染Linux和Windows主機(jī)的僵尸程序。該僵尸主要發(fā)起DNS放大攻擊??紤]到DNS放大攻擊對(duì)目標(biāo)系統(tǒng)資源的要求,該僵尸的感染目標(biāo)就是有豐富帶寬的服務(wù)器7。
顯然,Linux主機(jī)是主要對(duì)象。攻擊者入侵方式相當(dāng)暴力,是對(duì)Linux主機(jī)發(fā)起SSH字典攻擊。破解后登錄,下載bot程序。CC和bot之間采用加密通信。
在windows下,僵尸的工作方式有所不同。Bot感染目標(biāo)系統(tǒng)后,程序首先偽裝為一個(gè)名為DBProtectSupport的Windows服務(wù),通過高位TCP端口和CC通信。當(dāng)Bot感染W(wǎng)indows系統(tǒng)后,其最大的問題在于,bot需要首先向8.8.8.8發(fā)送一個(gè)DNS查詢請(qǐng)求獲得CC地址,然后獲得帶有攻擊目標(biāo)詳細(xì)信息的txt文件。截獲這個(gè)txt文件,就可以知道cc的信息。
看來(lái)任何強(qiáng)大的東東都有其不足的方面。