防火防盗防同行:木马Rombertik的“自我摧毁”机制原来是为了防盗版
本月早些时候,安全研究人员发表了一份关于Rombertik的 报告 。Rombertik是信息窃取木马Carbon Grabber (Infostealer.Retgate backdoor)的新版本,按照当时的说法,这款恶意软件使用多种机制防止研究人员对其进行分析,包括沙盒逃逸和“自毁”——如果Rombertik检测到有人在尝试对它进行分析,它会立即摧毁设备的MBR(主引导记录)使得取证专家难以读取数据。
自毁是为了防盗版
赛门铁克的研究人员认为“自毁”功能针对的是那些试图使用、修改这款木马的人。Rombertik的作者把它卖给其他犯罪团伙,而这些被传播的版本的二进制代码中包含C&C服务器的地址,这使得客户不能更改。很多黑客会尝试反编译而使用“盗版”恶意软件,他们试图更改C&C地址为自己的,并逃避向Rombertik团队支付费用。
为了防止犯罪组织更改Rombertik代码,这款木马的作者加入了覆盖MBR、以及对受感染机器上的文件进行加密的功能:如图,当黑客试图“盗版”Rombertik木马时,屏幕上就会显示“Carbon crack attempt, failed.”
加密的C&C服务器地址
赛门铁克的专家还发现了很多反篡改的方法,比如他们发现C&C服务器的URL是使用RSA密钥经过加密的。
Rombertik把RSA密钥哈希隐藏在PE头的time field中。这个哈希值会被与所使用的哈希值比较。如果哈希值匹配,一切正常。而如果有脚本小子尝试用另外的密钥替换这个RSA密钥,结果就会导致二者不匹配,就会触发自毁。
但木马的作者在隐藏加密密钥时犯了个小小错误:
“我们可以使用公钥对另外(我们自己的)的C&C URL进行加密,可以使用密钥对其进行解密。也就意味着如果有人想要重复利用这款木马而不想重新再买一个,他们就可以采用这种方法。”
*参考来源 SecurityAffairs ,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
