60期报告汇总
安天发布《Backdoor.Wirenet样本分析报告》
近日,安天追影小组在整理网络安全事件时,针对Linux平台下名为Backdoor.Wirenet的木马进行了简要分析。该木马以Opera、Firefox、Chrome和Chromium等跨平台浏览器,以及Thunderbird、SeaMonkey和Pidgin等应用的密码为目标,意图窃取用户信息。Wirenet在Linux平台下会自动复制至“~/WIFIADAPT”目录,然后使用AES加密通道,连线至C&C服务器。
安天追影小组,针对Backdoor木马家族中MD5为9A0E765EECC5433AF3DC726206ECC56E的样本进行了分析。该样本的函数数量较多,大部分的字符串信息已经被加密,其样本在网络传输过程中使用了AES加密。因此,样本main函数执行时首先进行了AES的初始化操作,通过进一步的分析,得出其使用的AES加密模式为CFB。其次,样本main函数中还调用了一个InstallHost函数用于执行自我安装,同时在ReadSettings函数中包含了一些设置的重要信息。进入ReadSettings函数发现样本的重要信息都采用RC4加密方式进行加密过,通过GDB动态调试可获取到大量信息。如连接的服务器,密码等,这些信息在InstallHost函数中被使用,而InstallHost函数中的Wirenet使用解密出的信息与服务器建立连接,并且在/.config/autostart中设置开机自启动功能。另外样本中还有一个重要的函数ProcessData,通过对ProcessData函数的调用关系可发现,该函数包含了大量功能,如遍历文件夹、读写文件、获取操作系统版本和用户信息、鼠标监控、开关机等,Wirenet基本具备了一个普通后门程序所具备的功能。除此之外,ProcessData函数中有GetGoogleChromePasswords、GetChromiumPasswords、FindMozillaLib等函数,在这些函数中,Wirenet会获取各浏览器安装目录下的Passwords文件,并连接SQLite尝试进行破解。
随着Linux操作系统的日益普遍,木马程序也开始逐渐入侵Linux系统。安天提醒电脑使用者要提高安全意识,定时给电脑进行体检,以确保在病毒入侵时及时发现并处理。在日常使用电脑工作时,可关闭不必要的服务。对于对外公开的服务,需要及时关注相应服务器软件的bug信息,并及时把软件升级到稳定版本。养成良好的备份数据习惯,当机器遭到攻击,数据不至丢失殆尽。