TeleBot分析报告

时间 ：  2016年12月23日  来源：  安天

近期，安天追影团队在整理网络安全事件时，注意到一组恶意软件工具集，主要针对乌克兰金融部门，其目的是进行网络破坏。该恶意软件工具集被称作TeleBots，其背后的团队使用的工具集与一年前攻击乌克兰电网的BalackEnergy组织存在大量的相似处，因此可推测BlackEnergy组织已演变成为TeleBots组织，TeleBots工具集中包含宏文档，下载器，后门，密码窃取器，键盘记录器，硬盘数据擦除器等。

分析介绍：

黑客使用包含恶意宏的Microsoft Excel文档，进行鱼叉式网络钓鱼，以达到感染目标主机的目的。一旦攻击目标点击“启用内容”按钮，TeleBots文档中的恶意宏会释放一个命名为explorer.exe的恶意二进制文件，并执行该文件。

追影小组针对TeleBots工具集中的后门程序（Md5：75EE947E31A40AB4B5CDE9F4A767310B）进行了分析，可以发现该样本使用Telegram Bot API，从而通过Telegram Messenger与攻击者进行联系，另外，我们发现每一个样本都有其独特的标记码，嵌入在其代码中，即每一个样本都有它自己的Telegram账户。由于恶意样本通过私人的聊天软件进行通信，使得被感染主机和攻击者之间的通信看起来就像是与一台合法服务器的HTTP(S)通信，且任意一台安装了Telegram Messenger的设备都可以作为C&C服务器，即便只是一台智能手机，依旧能够通过聊天来发送C&C指令。Telegram Bot API并不是该组织使用的唯一的合法协议，outlook邮箱也被该组织作为C&C服务器使用。

与其它的远控程序类似，控制端可以通过指令控制受感染的机器，使其执行shell指令并用聊天返回、捕获屏幕、收集系统信息等等操作，此外，恶意样本还会自动同步控制服务器上指定目录的文件，进而执行同步的文件进行进一步的感染。

总结：

随着对TeleBots家族的分析，可以发现网络罪犯者不断编写新的恶意软件，不断更新技术，例如使用Telegram Bot API而不是使用一台传统的服务器。网络安全的保护就是一场博弈战，网安工作者需要不断进行学习研究，紧跟技术的步伐。此外，安天追影团队提醒广大网络用户，要提高自身的安全意识，对于来源不明的邮件，不要轻易点击或者复制邮件中的网址，更不要轻易下载附件，以防止钓鱼邮件中的恶意代码的感染。

MD5:

75EE947E31A40AB4B5CDE9F4A767310B

参考链接:

http://www.welivesecurity.com/2016/12/13/rise-telebots-analyzing-disruptive-killdisk-attacks/