登陆

Adwind宗族歹意软件

admin 2019-10-04 225人围观 ,发现0个评论

2012年头,开发人员开端出售Adwind宗族的第一个根据Java的长途拜访东西(RAT),称为“Frutas”。在随后的几年里它被改写了至少七次。它的其他姓名包括adwind、unrecom、alien spy、jsocket、jbifrost、unknownrat和jconnectpro。

Adwind在野外依然很遍及。Adwind迭代中收集了超越45000个样本。自2017年以来,现已观察到这些样本超越200万次进犯。

Adwind RAT诞生

2012年1月11日,西班牙语indetectables网络论坛用户“adwind”发布了关于“frutas rat”项目的帖子,如图1和图2所示。

到2012年发布了几个frutas的更新。到2012年12月,Adwind将免费Frutas更名为付费“Adwind RAT”。

Adwind重塑

从2013年头起,改名的Adwind Rat在Adwind[.]com[.]MX出售,如下图3和4所示。

2013年10月5日,Adwind发布了“v3.0”,并宣称他将把它交给“其他人”进行保护,如图5所示。

一些研讨者宣称JRAT和Adwind鼠宗族有亲缘联络。虽然JRAT是Java RAT,咱们现已确认它是彻底不同的,而且是由不同的作者编写的。

那么,为什么要重塑?虽然咱们置疑在这个rat宗族的后期迭代中更名的其他原因,但至少在本例中,adwind的作者企图将他的身份与歹意软件的开发和出售阻隔开来。

UnReCoM Rat

在Adwind于2013年10月12日发布“所有权改动”布告一周后,注册了Unrecom[.]Net域名。该网站出售下一代Adwind宗族品牌“Unremcom RAT。图6显现了美国、西班牙和墨西哥受害者的联络。

该站供给每月订阅,而且能够直接购买软件,如图7所示。一些研讨人员以为这是一种“Adwind宗族歹意软件歹意软件即服务”(maas)形式。

Alien Spy

Alienspy[.]Net于2014年6月7日注册。这次改名的原因不得而知。这或许是作者故意想逃避未完成的购买/订阅,创建了一个“新”的软件来替代购买。也或许是为了防止名誉问题——关于Adwind宗族的投诉在论坛上很常见:

该网站展现了一份客户推荐信,它掩盖了将该软件用作合法管理东西的说法,如下图8所示。

2015年4月Fidelis发布Alien Spy研讨陈述。月底,下一个Adwind宗族更名的域名现已注册,注册商现已暂停Alienspy[.]net。

这些品牌之间的连续性在Alien Spy的Skype配置文件中很显着,如图9所示。

JSOCK

域名jsocket[.]org于2015年4月20日注册,注册时刻为fidelis陈述发布后12天。到2019年8月,该域名仍在注册中,不过自2016年头以来,该域名没有有活动。

图10显现了这个站点与其前一个站点之间的一些显着的相似之处。

2016年2月,Adwind作者被捕的流言在论坛上撒播。2016年2月8日,卡巴斯基宣布了一份关于jsocket的陈述。

JBifrost

Adwind再次对2016年2月8日宣布的卡巴斯基研讨陈述作出敏捷回应。一个新的域名jbifrost[.]com在两天后即2月10日注册。

这个网站抛弃了公共广告,转而支撑一个只要会员的私家网站,包括论坛、出售和谈天。

据报道,该网站于2016年6月底被暂停,Fortinet于2016年8月16日发布了对jbifrost的研讨。

Unknow(n) RAT

在jbifrost[.]网站暂停运营后,Adwind花了更长的时刻从头树立自己的网站。Unknowsoft[.]com于2016年8月2日注册,相同,这个网站支撑私家会员。

图12所示的用于从头命名的徽标与图11所示的jbifrost的徽标基本上没有改动。

JCONTLPRO

adwind宗族最终一个已知的网站jconnectpro[.]info于2016年12月10日注册。

该站点有助于记载歹意软件宗族的联络和演化,如图13所示。

“alinespy>>jsocket>>jbifrost&Adwind宗族歹意软件gt;>un腾讯企业邮箱登录konwn>>jconnectpro”

“alinespy>>jsocket>>jbifrost>>unkonwn>>jconnectpro”

图13所示的jconnect pro位点与图14所示的从前Unknowsoft具有显着的相似性。该网站于2017年4月初被ISP暂停。

有或许jconnectpro[.]信息不是由adwind保护,仅仅一个冒名顶替者在出售破解版的Unknowsoft。在ISP暂停之前,Unknowsoft[.]com发布了一条布告,称他们没有接收任何新客户。

加密服务

在Unknownsoft[.]com和JConnectPro[.]info被删去后,Adwind的踪影无从得知。虽然无法找到Adwind RAT的一个新的变种,但找到了一个Java RAT特有的加密服务。

歹意软件运营商运用一种称为“crypting”的技能来防止根据签名的防病毒检测。该技能将修正歹意软件二进制文件,使其具有新的、仅有的哈希值,而不改动其功用。

这种加密服务采用了UnknownRat的姓名——UnknownCrypter(UnknownCrypter[.]co)(图15)。

经过证明,这不是由adwind研制的新的变种,该加密服务研制者最近推出了根据java的rat,称为“wsh rat”,它的代码库十分不同,并不是adwind的rat的新变种。

破解版

虽然Adwind显着不再在网上或论坛上出售adwind rat,Adwind宗族歹意软件的破解版别现已撒播了好几年,一向到图16所示的Unknow rant的破解版别。

初次观察到Adwind宗族的样本在2016年12月5日将Bullguard二进制文件“littlehook.exe”的注册表项添加到反歹意软件中。这与JConnectPro更名密切相关,该域名仅在5天后注册。

自2016年12月以来,咱们收集了14000个样本。前期Adwind宗族rat破解版别似乎是其他rat的两倍。在同一时期,咱们发现了近30000个Adwind样本。

深入剖析

咱们剖析了Adwind不同RAT中的根底架构,发现他的操作安全性(OpSec)十分好。域名注册商和保管服务显着发生了改动,根底架构未被重用。没有发现与其他或许暗示Adwind身份活动的联络。

在剖析了不计其数的根底架构之后,这种持续杰出的opsec是稀有的。AdwinAdwind宗族歹意软件d不只企图躲藏自己的身份,为了与名声欠安的问题坚持间隔,他还企图替换所有权。虽然改名了,自身并没有显着的改动,仅仅增加了一些新功用。下图为该宗族Adwind宗族歹意软件演化时刻线。

背面黑手

如前所述,AdwiAdwind宗族歹意软件nd具有十分好的Opsec,开始,经过他的根底架构确认他身份是不或许的。

开始出售Adwind的网站是Adwind[.]com[.]MX,YouTube上的一些视频和截图显现,墨西哥主机占有了主导地位(图18)。

电子邮件地址adwind[at]live.com坐落frutas字符串中(图19),并在一个推行adwind 1.0的YouTube视频中被引证。

此电子邮件地址与Skype配置文件“AdwindAndres”(图20)相关,其间包括Adwind徽标。

skype的个人资料也被hackforums[.]net用来出售前期版别的adwind rat。这也是原始Adwind网站上列出的Skype(图3和图21)。

相同的电子邮件地址也能够在学术论文中找到,与skype中说到的“andres”同名:

“C. M. Andrs is a student from J█████ Autonomous University of T██████ in Mexico in the last semester of the degree in computer systems; (email: adwind [at]live.com).”

“C. M. Andrs is a student from J█████ Autonomous University of T██████ in Mexico in the last semester of the degree in computer systems; (email: adwind [at]live.com).”

adwind[.]com[.]mx的第一个前史whois条目包括全名和方位,与学术论文中的称号和方位匹配。尔后不久,whois记载被改为假信息。

Name: Andres A█████ C████████ M█████

City: C███████

State: T██████

Country: Mexico

Name: Andres A█████ C████████ M█████

City: C███████

State: T██████

Country: Mexico

自2012年起,Adwind Rat宗族的出售现已导致了数以万计的歹意软件样本在野外和数以百万计的歹意软件进犯。

在曩昔的八年里,Adwind Andres一向企图躲藏自己作为这个歹意软件的作者的身份,但没有成功。时至今日,他仍在持续开发这一软件,并从出售软件中获利。

*参阅来历:unit42,由Kriston编译,转载请注明来自FreeBuf.COM

请关注微信公众号
微信二维码
不容错过
Powered By Z-BlogPHP