68期报告汇总
安天发布《Bitter远控家族分析报告》
 
      近日,安天追影小组在整理网络安全事件时,针对Windows平台下名为“Bitter”的木马家族进行了简要的分析。该家族木马的网络通信数据包通常包含“BITTER1234”字符串,故命名为“Bitter”家族。攻击者会给目标发送伪装好的DOC和XLS文档文件,而这些文档含有或能被利用下载RAT恶意代码,并采用CVE-2012-0158漏洞进行伪装试图在被感染的系统中盗取敏感文档。

      安天追影小组针对Bitter木马家族的样本进行分析,发现该样本使用Microsoft Visual C++8.0进行编译,Bitter家族旧变种是通过未加密的HTTP POST传递C&C信息,而在该样本中采用的是加密的TCP连接。样本程序试图将自身伪装成Microsoft Printer Spooling Service,并带有不受信任的数字签名。此外,样本还会调用CMD Copy命令,将自身复制到系统”\Application Data\”目录并重命名,通过创建多个线程来与C&C建立连接并循环接收消息、执行命令。

      经分析,该RAT样本包含以下几种功能:获取系统信息(计算机名称、用户名称、操作系统版本)、枚举逻辑驱动器、枚举日志文件以及它们的时间戳、打开远程命令Shell、列举活跃的UDP连接、控制正在运行的进程、文件下载。利用这些功能攻击者可以远程控制受害者的电脑。Bitter家族使用免费的DDNS服务,建立自己C&C托管服务器,并使用Gmail伪造自己的身份信息。

      该样本在被感染设备上识别了逻辑驱动器后,会进行枚举文件,并检查它们是否匹配硬编码在样本中的文件扩展名DOC, PPT, XLS, DOCX, PPTX, XLSX, PDF, ZIP, 7Z, TXT, RTF等,因此可以判定,该样本的目的是窃取这些扩展名类型的敏感文件。

      随着对Bitter家族的分析,可以发现越来越多的恶意代码使用公共网络服务来设置自己的C&C,例如免费的DDNS服务、Gmail等,这使得防御和治理的难度有所提高。安天提醒广大网络使用者,要提高网络安全意识,收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址,不要轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施。