转载

Corebot:一个高度模块化的信息窃取软件

IBM发现了一种新型的数据窃取恶意软件,叫做Corebot。它是一个高度模块化的恶意软件,一些安全检测系统会将CoreBot识别为Dynamer!ac 或者Eldorado。它专门窃取系统、邮件凭证,还有软件密钥,甚至还可以下载并执行其他的一些恶意程序。一旦攻击者搜集到上述敏感信息,就会卖给犯罪组织。

相对来说能引起安全研究员注意的是信息窃取恶意软件、远程访问工具(RAT)、勒索软件、木马,而像CoreBot这样的信息窃取程序则很容易被研究员们忽略,因为它的危害不如木马严重。

模块化的插件系统

模块化的插件系统是CoreBot最为有趣的部分。

CoreBot最有趣的部分就是它的插件设计,更加的模块化,也更容易添加一些窃取能力。在终端设置好持久性的机制之后,CoreBot便会立即从其C&C服务器上下载插件。然后使用插件DLL中的plugininit导出函数加载插件。

Corebot:一个高度模块化的信息窃取软件

当下CoreBot使用的是名为Stealer的插件,它能窃取保存在浏览器中的密码及其凭证。它还能从桌面应用程序中搜寻到FTP客户端、邮件客户端、webmail服务、加密电子钱包中存储的凭证和数据。但缺点是CoreBot还不能获取浏览器上的实时数据。

一般来说,恶意软件都会尽可能的收集用户密码之类的数据,最终入侵进用户更多的私人账户,如银行账户凭证,邮件,电子钱包等。恶意软件连接到企业终端时,信息窃取器就会搜集硬盘上的邮件凭证、软件密钥等信息,然后发送给幕后的攻击者。

域生成算法(DGA)

IBM表示还在恶意软件中发现了未激活的域生成算法,该生成算法可以根据受害者所处的地理位置构建域。而通过DGA生成的域名只有恶意软件操作者才知道,这样也就不会被安全研究员和其他的网络犯罪组织发现。

CoreBot目前用两个域名进行通信:vincenzo-sorelli[.]com和arijoputane[.]com 。这两个域名是由同一个人注册的,而且注册地址是俄罗斯。

下载并运行其他恶意软件

一旦CoreBot感染了电脑系统,它就会利用windows Power Shell和微软自动化功能,配置管理框架等工具下载、安装、执行其他的一些恶意软件。同时,CoreBot还可以利用这些工具进行自我更新。

* 参考来源 threatpost securityaffairs hackread ,综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...