自2014年9月以來,我不時的發現有FakeAV家族的木馬出現。這個家族因兩個名字而為人所知:Braviax和FakeRean。該家族的木馬已經活躍了數年,最初是由S!Ri于2009年4月第一次發現的。
在這篇文章中我(作者)會對FakeAV家族的木馬按時間線從2009年開始至今進行一個分析。這里非常感謝S!Ri分享了一些關于FakeAV家族木馬的歷史數據。為什么我會在此時也就是今年的9月分享這篇文章?如果你跟隨我下面梳理的時間線你就會發現,每年的9月份FakeAV家族的木馬都會變得活躍起來。
Braviax/Fakerean家族木馬跟我在2014年2月分析的Tritrax(一種FakeAV木馬)家族木馬有很多的相似處(去年的分析文章:http://blog.0x3a.com/post/75474731248/analysis-of-the-tritax-fakeav-family-their-active)。Braviax/Fakerean同樣會隨著時間的推移不停的變換著自身的名字,下面的截圖是從2014年9月到2015年1月其使用過的名字:
如前所說,從2014年9月開始,這個變種木馬變得活躍了起來。在見過數次這種木馬后,我決定要對其進行一些深入的研究。其實我之所以發現這些名字在不停的變化,是因為我發現其網站、網站banner信息以及其“殺毒軟件”軟件的名稱不匹配,我曾9月27日在推特上說過這些:
#FakeAV website calls it 'Rango Antivirus’, banner 'Win XP Security’, sample run 'A-Secure’ (https://t.co/EgYDdzDqFd) pic.twitter.com/i1amKQLsIy
—Yonathan Klijnsma (@ydklijnsma)November 27, 2014
從這點上我開始關注這個FakeAV木馬到底有多大的威脅,很快我就發現它實際上是Fakerean/Braviax家族的一員,于是我便著手開始分析。
傳播機制分析
分析首先從其是如何傳播的開始,很簡單通過郵件傳播。最早在2014年12月18日左右出現于偽造的FedEx郵件中,欺騙用戶下載使用其FakeAV。郵件截圖如下:
在這個郵件的附件中我們發現了一個JS文件:
在這個JS腳本中我們發現大量的混淆代碼:
當我們還原出原始JS后,就會發現它只是一個簡單嘗試下載3個惡意軟件文件的腳本:
這三個下載文件才是本文最精彩的部分,它們就是Braviax/FakeRean的樣本。如果你想獲取樣本自己分析,你可以從這里獲取到:1d01611a1f88c7015c54efedacfcbc8fec55ad6de9a438087abff3be78c19901
1 23下一頁>>查看全文
內容導航
自2014年9月以來,我不時的發現有FakeAV家族的木馬出現。這個家族因兩個名字而為人所知:Braviax和FakeRean。該家族的木馬已經活躍了數年,最初是由S!Ri于2009年4月第一次發現的。
AD:
快速分析一個Braviax/FakeRean樣本
因為這篇文章更多是關于這個木馬家族的歷史而不是木馬本身的分析,所以下面只會進行一個非常簡短的分析。
當在感染的電腦上運行FakeAV會顯示如下信息:
當你嘗試關閉FakeAV窗口(或其他方式關閉)時,其會彈出一個假的Windows安全中心:
為了不被用戶察覺,FakeAV會將自身復制到另一個位置并在注冊表中注冊一個鍵值,這些都是常見的持續訪問方法。FakeAV也會一直監視著其他運行的進程并殺死那些它不喜歡的進程,包括taskmgr這樣的系統工具以及wireshark這類工具。FakeAV做的一切都是為了對用戶進行適度的恐嚇以勸說用戶去購買它的“產品”以徹底清除用戶受到的“感染”。
FakeAV也會進行一些C2通信,包括支付C2服務器上的信息:
客戶端會向gelun-posak.com的C2服務器發送一個請求,path是一個經過Base64編碼后的唯一系統ID號。服務器的相應中包含一個很小的配置文件,上圖中部分可讀的字符串“eo-moquales.Nom”經過解碼后實際上是真正的交易地址“golen-mortales.com”。
這個木馬同我之前分析的其他木馬沒什么太大的區別。支付服務運行在分布式的C2服務器上,主C2服務器只用來登記和統計感染信息。好了,關于惡意軟件到此為止了,我們主要來關注下這個木馬家族的歷史吧。
<<上一頁123下一頁>>查看全文
內容導航
自2014年9月以來,我不時的發現有FakeAV家族的木馬出現。這個家族因兩個名字而為人所知:Braviax和FakeRean。該家族的木馬已經活躍了數年,最初是由S!Ri于2009年4月第一次發現的。
AD:
木馬家族
Braviax/Fakerean這個FakeAV木馬家族已經出現了很多年了,S!Ri最早于6年前匯報了這個家族。回到2009年4月份,那時的樣本以“Home Antivirus 2009”的名字出現:
到了7月初,緊隨其后的第二個版本名為“PC Security 2009”:
第三個版本出現在7月底,這時名為“Home Antivirus 2010”(盡管此時還是2009年):
差不多到了8月底第四個版本出現了,這次名為“PC Antispyware 2010”。這一版本加載了一個從ClamAV(實際上是2007的老版ClamAV)竊取來的殺毒軟件數據庫:
9月5日又出現了新的版本,“Antivirus Pro 2010”:
在2009年里,Braviax/Fakerean家族總共出現了5個版本,從9月份到2010年1月底都沒有在出現過新的版本。在2010年1月底出現了一個全新的版本,這個版本最大的變化在于木馬會自動判斷運行的系統為Windows XP, Vista或是Windows 7。即使是在同一個操作系統下面,這個木馬依舊會出現很多名字。在Windows XP平臺下它可能會叫以下名稱:
Antivirus XP 2010
XP Guardian
XP Internet Security
在Windows Vista平臺下會出現以下名稱:
Vista Antivirus Pro 2010
Vista Internet Security 2010
最后,在Windows 7平臺下會則會出現以下名稱:
Win 7 Antispyware 2010
Win 7 Internet Security 2010
根據平臺來確定名稱這是一個很有趣的變化。在這個版本出現后,直到11月份該家族都沒有出現新的成員。而11月份出現新的版本跟之前基本一致,只是將以前版本名稱中的2010替換為了2011。下面以XP樣本為例:
XP Security 2011
XP Antispyware 2011
2011年2月出現的新版本也只是微調了名稱以及GUI布局。
XP Anti-Virus 2011
XP Home Security 2011
XP Anti-Spyware
在2011年6月底一個新的版本被發現。這個版本繼續更新了名稱和GUI布局。
XP Internet Security 2012
Win7 Internet Security 2012
另一個稍微有更新的版本出現于2011年11月底,同樣是基于操作系統變換名稱的:
2012年1月份出現了一個GUI改動較大的版本:
在2012年10月又出現了一個稍微有所更新的版本。依舊還是基于操作系統變化名稱的,變化的只是GUI:
然后快一年后,在2014月9月份新的版本出現在了我的分析中。全新的GUI以及名稱顯示出了巨大的變化。它會以如下名稱出現:
1、Sirius (Win 7|Win 8|Vista) Protection 2014
2、Zorton (Win 7|Win 8|Vista) Protection 2014
3、Rango (Win 7|Win 8|Vista) Protection 2014
4、A-Secure 2015
5、AVbytes (Win 7|Win 8|Vista) Antivirus 2015
6、AVC Plus
其界面如下:
然而,2011年9月底出現了一個名為“Advanced PC Shield 2012”的后代,和另一個在2012年8月出現的名為“Win 8 Security System”的后代:
盡管這兩個版本也屬于Braviax/Fakerean家族,但在配置上同家族其他成員還是有些不同。
總結
Braviax/Fakerean家族從2009年4月出現至今已經經歷很長一段時間,但每年其都可以成功的“借殼重生”。
Braviax/Fakerean家族沒有像銀行惡意軟件或勒索軟件那樣被定義為具有很大的威脅,是因為它們的低調以及它們是在不引起人們的警覺的情況下進行適度的恐嚇。未來我會繼續對它們保持關注。
IOC和樣本
下列樣本為2014年9月至2014年12月的最后一次版本列表。截止本文完成時沒有在發現新的樣本。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下面是樣本涉及到的域名和IP地址:
IP Address Domain
146.185.239.110 evcash.net
146.185.239.110 softrango.com
146.185.239.111 ltsectur2.com
146.185.239.111 ltsectur9.com
146.185.239.111 fscurat20.com
146.185.239.111 fscurat21.com
146.185.239.112 fastprodst5.com
146.185.239.112 fflord25.com
146.185.239.112 fflord30.com
146.185.239.112 giron32.com
146.185.239.112 glorius11.com
146.185.239.112 golus27.com
146.185.239.112 gshsol4.com
146.185.239.112 holipolks12.com
146.185.239.112 scara123.com
146.185.239.112 scara124.com
146.185.239.112 smart-filins.com
146.185.239.112 srut12.com
146.185.239.112 srut19.com
146.185.239.113 gskskkksa4.com
146.185.239.113 jarr62737.com
146.185.239.114 gislat2for8.com
146.185.239.114 gislat4se2.com
146.185.239.114 gladi-toriusa.com
146.185.239.114 holisak-tasek.com
146.185.239.114 hysotasl.com
146.185.239.114 kaaalosa-set.com
146.185.239.114 shatiko-mero.com
146.185.239.114 svars-sta.com
146.185.239.114 tauruk-felon.com
146.185.239.114 trader562.com
146.185.239.114 veret-sapan.com
146.185.239.114 vertus-adusa.com
146.185.239.114 vesm-arast.com
146.185.239.114 zemo-numeros.com
146.185.239.114 zumo-afetuk.com
146.185.239.114 zumo-alibabs.com
146.185.239.114 zumo-archib.com
146.185.239.114 tauruk-felon.com
146.185.239.248 gelun-posak.com
146.185.239.248 fulo-centums.com
62.122.74.111 golen-mortales.com
京公網安備 11010502049343號