相对来说能引起安全研究员注意的是信息窃取恶意软件、远程访问工具(RAT)、勒索软件、木马,而像CoreBot这样的信息窃取程序则很容易被研究员们忽略,因为它的危害不如木马严重。
CoreBot最有趣的部分就是它的插件设计,更加的模块化,也更容易添加一些窃取能力。在终端设置好持久性的机制之后,CoreBot便会立即从其C&C服务器上下载插件。然后使用插件DLL中的plugininit导出函数加载插件。
一般来说,恶意软件都会尽可能的收集用户密码之类的数据,最终入侵进用户更多的私人账户,如银行账户凭证,邮件,电子钱包等。恶意软件连接到企业终端时,信息窃取器就会搜集硬盘上的邮件凭证、软件密钥等信息,然后发送给幕后的攻击者。
IBM表示还在恶意软件中发现了未激活的域生成算法,该生成算法可以根据受害者所处的地理位置构建域。而通过DGA生成的域名只有恶意软件操作者才知道,这样也就不会被安全研究员和其他的网络犯罪组织发现。
一旦CoreBot感染了电脑系统,它就会利用windows Power Shell和微软自动化功能,配置管理框架等工具下载、安装、执行其他的一些恶意软件。同时,CoreBot还可以利用这些工具进行自我更新。
* 参考来源 threatpost , securityaffairs , hackread ,综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)