Neutrino Bot家族样本分析报告

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,Neutrino Bot家族样本自新年之后开始活跃。经分析,攻击者冒充微软安全办公室人员,发送含有恶意文档链接的电子邮件,引诱受害者打开并启用文档中包含的恶意宏,进而下载Neutrino Bot家族样本,劫持DNS请求,实施DDoS攻击,下载其他恶意代码,窃取用户敏感数据,如击键记录、屏幕截图等等。Neutrino Bot家族在一年前已经开始在黑市上售卖,它以打包的形式出售,其中包含一个生成器,一个C&C面板和一个恶意的载荷文件。

目前泄露出的生成器版本为v3.9.4,它由Visual Studio 2013编写,功能非常简单,只需要填入C&C地址就可以生成。与原始载荷不同的是,生成器生成的版本将攻击者提供的URL加密并存放在特定的位置。安装自带的控制面板后,攻击者可以对受感染的客户端进行多种操作,包括“ddos”、“find file”、“cmd shell”、“keylogger”、“update”、“visit url”、“bot killer”、“dns spoofing”等。

本次出现的Neutrino Bot家族样本首先安装自身,在%APPDATA%下创建了文件夹“UmJn”,该文件名代表的是Neutrino Bot的版本。接下来恶意代码开始连接C&C获取攻击者的恶意指令,请求的URL地址是硬编码在样本之中的,使用了Base64加密。解密之后可以得到四个php页面地址。关于身份验证,在之前的版本中,它发送一个硬编码的cookie,值为字符串“admin”的md5,而本次则将该字符串更换为了“just for fun”。本次的5.2版本比之前的3.9.4版本有了一些改变,分离了一些实现功能的函数,增加了攻击者对代码的可控性,其次取消了可以使分析人员看出攻击者意图的字符串并且一些重复使用的函数会被动态加载以降低代码的可读性。

最近一段时间,使用包含恶意宏代码文档的钓鱼邮件、垃圾邮件来进行攻击越来越常见,它们伪装成订单、发票或大公司,通过诱惑性的文字和图片引诱用户开启宏,下载恶意代码,进而窃取用户敏感数据。安天CERT提醒网络使用者,除非完全信任该文件或在虚拟环境中运行,否则千万不要启用宏及点击邮件中的链接。

目前,安天追影产品已经实现了对Neutrino Bot家族样本的检出。