官场小说排行榜,完美世界辰东小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

Braviax與Fakerean的家族木馬編年史

自2014年9月以來(lái)，我不時(shí)的發(fā)現(xiàn)有FakeAV家族的木馬出現(xiàn)。這個(gè)家族因兩個(gè)名字而為人所知：Braviax和FakeRean。該家族的木馬已經(jīng)活躍了數(shù)年，最初是由S!Ri于2009年4月第一次發(fā)現(xiàn)的。

專注于為中小企業(yè)提供成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、成都外貿(mào)網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)科爾沁左翼免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了上千企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

在這篇文章中我(作者)會(huì)對(duì)FakeAV家族的木馬按時(shí)間線從2009年開(kāi)始至今進(jìn)行一個(gè)分析。這里非常感謝S!Ri分享了一些關(guān)于FakeAV家族木馬的歷史數(shù)據(jù)。為什么我會(huì)在此時(shí)也就是今年的9月分享這篇文章?如果你跟隨我下面梳理的時(shí)間線你就會(huì)發(fā)現(xiàn)，每年的9月份FakeAV家族的木馬都會(huì)變得活躍起來(lái)。

Braviax/Fakerean家族木馬跟我在2014年2月分析的Tritrax(一種FakeAV木馬)家族木馬有很多的相似處(去年的分析文章：http://blog.0x3a.com/post/75474731248/analysis-of-the-tritax-fakeav-family-their-active)。Braviax/Fakerean同樣會(huì)隨著時(shí)間的推移不停的變換著自身的名字，下面的截圖是從2014年9月到2015年1月其使用過(guò)的名字：

如前所說(shuō)，從2014年9月開(kāi)始，這個(gè)變種木馬變得活躍了起來(lái)。在見(jiàn)過(guò)數(shù)次這種木馬后，我決定要對(duì)其進(jìn)行一些深入的研究。其實(shí)我之所以發(fā)現(xiàn)這些名字在不停的變化，是因?yàn)槲野l(fā)現(xiàn)其網(wǎng)站、網(wǎng)站banner信息以及其“殺毒軟件”軟件的名稱不匹配，我曾9月27日在推特上說(shuō)過(guò)這些：

#FakeAV website calls it 'Rango Antivirus’, banner 'Win XP Security’, sample run 'A-Secure’ (https://t.co/EgYDdzDqFd) pic.twitter.com/i1amKQLsIy

— Yonathan Klijnsma (@ydklijnsma)November 27, 2014

從這點(diǎn)上我開(kāi)始關(guān)注這個(gè)FakeAV木馬到底有多大的威脅，很快我就發(fā)現(xiàn)它實(shí)際上是Fakerean/Braviax家族的一員，于是我便著手開(kāi)始分析。

傳播機(jī)制分析

分析首先從其是如何傳播的開(kāi)始，很簡(jiǎn)單通過(guò)郵件傳播。最早在2014年12月18日左右出現(xiàn)于偽造的FedEx郵件中，欺騙用戶下載使用其FakeAV。郵件截圖如下：

在這個(gè)郵件的附件中我們發(fā)現(xiàn)了一個(gè)JS文件：

在這個(gè)JS腳本中我們發(fā)現(xiàn)大量的混淆代碼：

當(dāng)我們還原出原始JS后，就會(huì)發(fā)現(xiàn)它只是一個(gè)簡(jiǎn)單嘗試下載3個(gè)惡意軟件文件的腳本：

這三個(gè)下載文件才是本文最精彩的部分，它們就是Braviax/FakeRean的樣本。如果你想獲取樣本自己分析，你可以從這里獲取到：1d01611a1f88c7015c54efedacfcbc8fec55ad6de9a438087abff3be78c19901

#p#

快速分析一個(gè)Braviax/FakeRean樣本

因?yàn)檫@篇文章更多是關(guān)于這個(gè)木馬家族的歷史而不是木馬本身的分析，所以下面只會(huì)進(jìn)行一個(gè)非常簡(jiǎn)短的分析。

當(dāng)在感染的電腦上運(yùn)行FakeAV會(huì)顯示如下信息：

當(dāng)你嘗試關(guān)閉FakeAV窗口(或其他方式關(guān)閉)時(shí)，其會(huì)彈出一個(gè)假的Windows安全中心：

為了不被用戶察覺(jué)，F(xiàn)akeAV會(huì)將自身復(fù)制到另一個(gè)位置并在注冊(cè)表中注冊(cè)一個(gè)鍵值，這些都是常見(jiàn)的持續(xù)訪問(wèn)方法。FakeAV也會(huì)一直監(jiān)視著其他運(yùn)行的進(jìn)程并殺死那些它不喜歡的進(jìn)程，包括taskmgr這樣的系統(tǒng)工具以及wireshark這類(lèi)工具。FakeAV做的一切都是為了對(duì)用戶進(jìn)行適度的恐嚇以勸說(shuō)用戶去購(gòu)買(mǎi)它的“產(chǎn)品”以徹底清除用戶受到的“感染”。

FakeAV也會(huì)進(jìn)行一些C2通信，包括支付C2服務(wù)器上的信息：

客戶端會(huì)向gelun-posak.com的C2服務(wù)器發(fā)送一個(gè)請(qǐng)求，path是一個(gè)經(jīng)過(guò)Base64編碼后的唯一系統(tǒng)ID號(hào)。服務(wù)器的相應(yīng)中包含一個(gè)很小的配置文件，上圖中部分可讀的字符串“eo-moquales.Nom”經(jīng)過(guò)解碼后實(shí)際上是真正的交易地址“golen-mortales.com”。

這個(gè)木馬同我之前分析的其他木馬沒(méi)什么太大的區(qū)別。支付服務(wù)運(yùn)行在分布式的C2服務(wù)器上，主C2服務(wù)器只用來(lái)登記和統(tǒng)計(jì)感染信息。好了，關(guān)于惡意軟件到此為止了，我們主要來(lái)關(guān)注下這個(gè)木馬家族的歷史吧。#p#

木馬家族

Braviax/Fakerean這個(gè)FakeAV木馬家族已經(jīng)出現(xiàn)了很多年了，S!Ri最早于6年前匯報(bào)了這個(gè)家族。回到2009年4月份，那時(shí)的樣本以“Home Antivirus 2009”的名字出現(xiàn)：

到了7月初，緊隨其后的第二個(gè)版本名為“PC Security 2009”：

第三個(gè)版本出現(xiàn)在7月底，這時(shí)名為“Home Antivirus 2010”(盡管此時(shí)還是2009年)：

差不多到了8月底第四個(gè)版本出現(xiàn)了，這次名為“PC Antispyware 2010”。這一版本加載了一個(gè)從ClamAV(實(shí)際上是2007的老版ClamAV)竊取來(lái)的殺毒軟件數(shù)據(jù)庫(kù)：

9月5日又出現(xiàn)了新的版本，“Antivirus Pro 2010”：

在2009年里，Braviax/Fakerean家族總共出現(xiàn)了5個(gè)版本，從9月份到2010年1月底都沒(méi)有在出現(xiàn)過(guò)新的版本。在2010年1月底出現(xiàn)了一個(gè)全新的版本，這個(gè)版本最大的變化在于木馬會(huì)自動(dòng)判斷運(yùn)行的系統(tǒng)為Windows XP, Vista或是Windows 7。即使是在同一個(gè)操作系統(tǒng)下面，這個(gè)木馬依舊會(huì)出現(xiàn)很多名字。在Windows XP平臺(tái)下它可能會(huì)叫以下名稱：

Antivirus XP 2010

XP Guardian

XP Internet Security

在Windows Vista平臺(tái)下會(huì)出現(xiàn)以下名稱：

Vista Antivirus Pro 2010

Vista Internet Security 2010

最后，在Windows 7平臺(tái)下會(huì)則會(huì)出現(xiàn)以下名稱：

Win 7 Antispyware 2010

Win 7 Internet Security 2010

根據(jù)平臺(tái)來(lái)確定名稱這是一個(gè)很有趣的變化。在這個(gè)版本出現(xiàn)后，直到11月份該家族都沒(méi)有出現(xiàn)新的成員。而11月份出現(xiàn)新的版本跟之前基本一致，只是將以前版本名稱中的2010替換為了2011。下面以XP樣本為例：

XP Security 2011

XP Antispyware 2011

2011年2月出現(xiàn)的新版本也只是微調(diào)了名稱以及GUI布局。

XP Anti-Virus 2011

XP Home Security 2011

XP Anti-Spyware

在2011年6月底一個(gè)新的版本被發(fā)現(xiàn)。這個(gè)版本繼續(xù)更新了名稱和GUI布局。

XP Internet Security 2012

Win7 Internet Security 2012

另一個(gè)稍微有更新的版本出現(xiàn)于2011年11月底，同樣是基于操作系統(tǒng)變換名稱的：

2012年1月份出現(xiàn)了一個(gè)GUI改動(dòng)較大的版本：

在2012年10月又出現(xiàn)了一個(gè)稍微有所更新的版本。依舊還是基于操作系統(tǒng)變化名稱的，變化的只是GUI：

然后快一年后，在2014月9月份新的版本出現(xiàn)在了我的分析中。全新的GUI以及名稱顯示出了巨大的變化。它會(huì)以如下名稱出現(xiàn)：

1、Sirius (Win 7|Win 8|Vista) Protection 2014

2、Zorton (Win 7|Win 8|Vista) Protection 2014

3、Rango (Win 7|Win 8|Vista) Protection 2014

4、A-Secure 2015

5、AVbytes (Win 7|Win 8|Vista) Antivirus 2015

6、AVC Plus

其界面如下：

然而，2011年9月底出現(xiàn)了一個(gè)名為“Advanced PC Shield 2012”的后代，和另一個(gè)在2012年8月出現(xiàn)的名為“Win 8 Security System”的后代：

盡管這兩個(gè)版本也屬于Braviax/Fakerean家族，但在配置上同家族其他成員還是有些不同。

總結(jié)

Braviax/Fakerean家族從2009年4月出現(xiàn)至今已經(jīng)經(jīng)歷很長(zhǎng)一段時(shí)間，但每年其都可以成功的“借殼重生”。

Braviax/Fakerean家族沒(méi)有像銀行惡意軟件或勒索軟件那樣被定義為具有很大的威脅，是因?yàn)樗鼈兊牡驼{(diào)以及它們是在不引起人們的警覺(jué)的情況下進(jìn)行適度的恐嚇。未來(lái)我會(huì)繼續(xù)對(duì)它們保持關(guān)注。

IOC和樣本

下列樣本為2014年9月至2014年12月的最后一次版本列表。截止本文完成時(shí)沒(méi)有在發(fā)現(xiàn)新的樣本。

42f25bda3f8de7c99b1ebbab83f742e8f98528cb466511c3426ca59ba6a0d06c

f25bf1897ac640c8f9e4cf87897e94f717acffa825fedf772861c8ac68bcc913

3b93570e402935d2b898c4f07851ea5f597a136d8b88a9e1ab2eb67bcd143f11

55806f8d10acda611dd291fd7ef9205cc5e3845cbfbb44de298387724d979f9c

1d01611a1f88c7015c54efedacfcbc8fec55ad6de9a438087abff3be78c19901

376f1d7b49b8906ca06feef2291e25a5a205d1cd2e3c37effba4311634ef0b53

49c609b289ab86dbb001cacec5ff638380f5a4c78dd7e8ffcd7187123349b5e6

f2d67162f4a4af113977a33846b34d47b63160616e0520c7cc3f76eb52755448

66eb191716d08898f8cc6f2663ef594279a95ed2542c4086618199c040de67f2

810b40d5b9cff4690eca167edd8765c8875172c2601656f8cd89cf8e66a72cc7

a7175de9d14b29df0beb653982512e9cc0241ecf53ae91135dbae852724a284a

2c277f6d5f060192a73e2b918d7c210a876cb11d064fdab1f483947df4d1156f

5b7d7c79786b0461dfd0f6ac144ab03374ee5608062d547f21e3b4c2eb13f50f

01a4e7e0297923a40d85b931c4715ddd0fc9b3881de12c4affcaa7595a95407f

1cfc14b9532e12a7cc02874d655796dbed6eff5c774b37670ec16b185efe72af

下面是樣本涉及到的域名和IP地址：

IP Address Domain
146.185.239.110        evcash.net
146.185.239.110        softrango.com
146.185.239.111        ltsectur2.com
146.185.239.111        ltsectur9.com
146.185.239.111        fscurat20.com
146.185.239.111        fscurat21.com
146.185.239.112        fastprodst5.com
146.185.239.112        fflord25.com
146.185.239.112        fflord30.com
146.185.239.112        giron32.com
146.185.239.112        glorius11.com
146.185.239.112        golus27.com
146.185.239.112        gshsol4.com
146.185.239.112        holipolks12.com
146.185.239.112        scara123.com
146.185.239.112        scara124.com
146.185.239.112        smart-filins.com
146.185.239.112        srut12.com
146.185.239.112        srut19.com
146.185.239.113        gskskkksa4.com
146.185.239.113        jarr62737.com
146.185.239.114        gislat2for8.com
146.185.239.114        gislat4se2.com
146.185.239.114        gladi-toriusa.com
146.185.239.114        holisak-tasek.com
146.185.239.114        hysotasl.com
146.185.239.114        kaaalosa-set.com
146.185.239.114        shatiko-mero.com
146.185.239.114        svars-sta.com
146.185.239.114        tauruk-felon.com
146.185.239.114        trader562.com
146.185.239.114        veret-sapan.com
146.185.239.114        vertus-adusa.com
146.185.239.114        vesm-arast.com
146.185.239.114        zemo-numeros.com
146.185.239.114        zumo-afetuk.com
146.185.239.114        zumo-alibabs.com
146.185.239.114        zumo-archib.com
146.185.239.114        tauruk-felon.com
146.185.239.248        gelun-posak.com
146.185.239.248        fulo-centums.com
62.122.74.111          golen-mortales.com

網(wǎng)站欄目：Braviax與Fakerean的家族木馬編年史
本文URL：http://m.fisionsoft.com.cn/article/dpopjgp.html

新聞中心

其他資訊