使用Python语言编写的远控家族Seaduke介绍

时间 ：  2017年02月13日  来源：  安天

安天追影小组在进行日常安全事件梳理时，关注到一个以Python脚本编写的远控类病毒家族Seaduke，样本使用PyInstaller打包程序将Python脚本转换为可执行文件，样本运行时通过接收远程命令来执行上传本地文件、下载和安装恶意程序、卸载和删除本身等恶意行为。

分析介绍：

Seaduke恶意软件样本很大，本次分析的样本有3.16MB，其是使用PyInstaller将恶意软件的相关功能的Python脚本和所需的动态库等文件打包转换成一个exe文件，并进行加壳。

恶意软件一旦被执行，就会在系统临时文件目录下“%Temp%\”下释放多个pyd文件和一个执行Python脚本所需的动态链接库“Python27.dll”，并在系统启动目录“%UserProfile%\Start Menu\Programs\Startup”下释放快捷方式和修改注册表启动项，来完成自启动。对Seaduke恶意软件的Python脚本进行分析时，发现其中有判别系统环境是Windows还是Linux的功能代码，根据Python脚本的跨平台特性，可猜测Seaduke家族可能是一个跨平台病毒家族，对于这一点，我们会持续跟进和追踪。目标机器感染恶意软件后，其会与控制与命令服务器（C&C）发送连接请求，随后等待远程指令，包含以下命令：
autoload：在指定的位置安装样本
migrate：迁移进程文件
clone_time：修改文件属性时间
download：下载文件
execw：执行命令
get：上传文件（加密）
upload_to：上传文件（不加密）
b64encode：加密文件内容并返回
eval：执行代码
set_update_interval：设置请求时间间隔
self_exit：停止运行样本
seppuku：卸载安装样本

从远程命令看，恶意软件可以进行远程操控，进而可进行下载、安装、执行其他恶意软件，以及窃取、上传被感染机器的数据，同时网络通信数据是进行加密和混淆的。

总结：

Seaduke家族是一个利用脚本语言和相应的转换工具来生成样本的，脚本语言包含快速开发、容易部署、可同已有技术集成、易学易用、动态生成和执行代码等特点，运用于恶意代码领域，将使得恶意软件开发更容易，目前该家族样本已经可以被追影产品检出，安天追影小组将持续关注脚本类恶意代码，以更早、更好的应对此类威胁。

MD5:

A25EC7749B2DE12C2A86167AFA88A4DD

参考链接:

https://www.symantec.com/security_response/writeup.jsp?docid=2015-031915-4935-99&tabid=2
http://mp.weixin.qq.com/s?__biz=MjM5Mjc3MDM2Mw==&mid=2651132707&idx=1&sn=e1091824dadb598a671b7e497b0ba462&chksm=bd5083778a270a616547b71059d88802c423b4b7d60d8e368aeeb9b13a30c1c8729f049b7bb6&mpshare=1&scene=23&srcid=01044d41t4XPVrhPmGByO6C3#rd