Crane 样本分析报告

时间 ：  2016年12月14日  来源：  安天

本周，安天追影小组在整理网络安全事件时，针对Windows平台下名为Crane的木马进行了简要分析。该木马的攻击目标包括：两家专门从事起重机和辅助设备的大公司，当发现恶意软件时，恶意软件已经进行了一段时间的从受感染的系统中窃取机密信息的活动。

分析介绍：

Crane一直被用来窃取财务文件、协议和内部业务通信，因此认为此次攻击是一些不道德的企业对手蓄谋的企业间谍活动的一部分。一旦感染设备，Crane就会连接其C＆C服务器并等待指示。攻击者可以安装各种模块，每个模块用于执行特定任务，例如在命令提示符中执行命令、从指定链接下载文件、通过FTP或HTTP上传文件以及截图等。一些模块还下载了几个基于Python的木马，其中一个可以执行与Crane相同的命令，但它也可以从指定的路径获取文件和文件夹的列表、删除文件、终止进程、复制文件和终止本身等；另一个则可以在受感染的设备上打开一个shell。恶意软件的开发者错误地留下的“关于”窗口表明，Crane的第一个版本是在2015年推出的，但是目前发现的样本也有是2016年4月编译的。本文通过对MD5为361c983b94b3e07a3b509f0b9b34cad7的Crane样本进行分析可知：

首先，Crane木马程序启动之后会创建不同的进程，同时进行Internet网络连接。其次，Crane木马对文件和注册表的操作较频繁，Crane会根据文件名到一个文件夹(包括子文件夹)去搜索指定文件，最终会搜索到与指定的文件名相符的所有文件。Crane会查询一些文件的基本信息，诸如文件读写时间、文件属性等。Crane会创建文件，并且创建的大多是.dll文件，由于某些原因，Crane在创建某些.dll文件时会因找不到文件名而失败。最后，Crane会创建一些具有扩展风格的重叠式窗口、弹出式窗口或子窗口来进行消息传递。

总结：

通过对后门程序Crane的分析可知，恶意软件危害日益严重，应对恶意软件属长期工作。安天追影小组提醒各电脑使用者要提高安全意识，定时给电脑进行体检以确保在入侵时及时发现并处理。具备良好的备份数据习惯，重要文件须加密保存和备份，尽量降低机器受到攻击时带来的损失。

MD5:

361c983b94b3e07a3b509f0b9b34cad7