使用Python语言编写的远控家族Seaduke介绍

安天追影小组在进行日常安全事件梳理时,关注到一个以Python脚本编写的远控类病毒家族Seaduke,样本使用PyInstaller打包程序将Python脚本转换为可执行文件,样本运行时通过接收远程命令来执行上传本地文件、下载和安装恶意程序、卸载和删除本身等恶意行为。

分析介绍:

Seaduke恶意软件样本很大,本次分析的样本有3.16MB,其是使用PyInstaller将恶意软件的相关功能的Python脚本和所需的动态库等文件打包转换成一个exe文件,并进行加壳。

恶意软件一旦被执行,就会在系统临时文件目录下“%Temp%\”下释放多个pyd文件和一个执行Python脚本所需的动态链接库“Python27.dll”,并在系统启动目录“%UserProfile%\Start Menu\Programs\Startup”下释放快捷方式和修改注册表启动项,来完成自启动。对Seaduke恶意软件的Python脚本进行分析时,发现其中有判别系统环境是Windows还是Linux的功能代码,根据Python脚本的跨平台特性,可猜测Seaduke家族可能是一个跨平台病毒家族,对于这一点,我们会持续跟进和追踪。目标机器感染恶意软件后,其会与控制与命令服务器(C&C)发送连接请求,随后等待远程指令,包含以下命令:
autoload:在指定的位置安装样本
migrate:迁移进程文件
clone_time:修改文件属性时间
download:下载文件
execw:执行命令
get:上传文件(加密)
upload_to:上传文件(不加密)
b64encode:加密文件内容并返回
eval:执行代码
set_update_interval:设置请求时间间隔
self_exit:停止运行样本
seppuku:卸载安装样本

从远程命令看,恶意软件可以进行远程操控,进而可进行下载、安装、执行其他恶意软件,以及窃取、上传被感染机器的数据,同时网络通信数据是进行加密和混淆的。

总结:

Seaduke家族是一个利用脚本语言和相应的转换工具来生成样本的,脚本语言包含快速开发、容易部署、可同已有技术集成、易学易用、动态生成和执行代码等特点,运用于恶意代码领域,将使得恶意软件开发更容易,目前该家族样本已经可以被追影产品检出,安天追影小组将持续关注脚本类恶意代码,以更早、更好的应对此类威胁。

MD5:

A25EC7749B2DE12C2A86167AFA88A4DD

参考链接:

https://www.symantec.com/security_response/writeup.jsp?docid=2015-031915-4935-99&tabid=2
http://mp.weixin.qq.com/s?__biz=MjM5Mjc3MDM2Mw==&mid=2651132707&idx=1&sn=e1091824dadb598a671b7e497b0ba462&chksm=bd5083778a270a616547b71059d88802c423b4b7d60d8e368aeeb9b13a30c1c8729f049b7bb6&mpshare=1&scene=23&srcid=01044d41t4XPVrhPmGByO6C3#rd