上個月，網絡犯罪分子利用Samba 漏洞“永恒之紅”(EternalRed)或SambaCry將虛擬貨幣挖礦軟件傳送至Linux服務器。安全研究人員發現，這群網絡犯罪分子開發了一款針對Windows系統的新后門——“CowelSnail”。

經卡巴斯基實驗室產品檢測，這款新的惡意軟件為Backdoor.Win32.CowerSnail)—— CowerSnail使用的命令與控制(C&C)服務器與SambaCry Linux惡意軟件相同：cl.ezreal.space:20480。

CowerSnail使用Qt(跨平臺開發框架)編寫。安全專家認為，CowerSnail開發人員使用Qt是為了直接轉移Unix代碼，而非研究如何使用Windows API。另一方面，雖然在平臺之間轉移代碼相對容易，但Qt使生成的文件更大。

CowerSnail是一個不尋常的惡意軟件，通過Qt編寫。Qt是開發跨操作系統應用程序的編碼框架。Qt惡意軟件并不新鮮，但像Codewise這類惡意軟件卻很少見。

卡巴斯基公司的研究人員謝爾蓋·尤拉科夫斯基表示，CowerSnail惡意軟件僅包含基本功能，目前只能作為后門感染主機。

CowerSnail的主要功能是在被感染主機上執行成批命令。CowerSnail從控制與命令(C&C)服務器接收這些命令。

CowerSnail和SambaCry Linux惡意軟件或同門

CowerSnail和SambaCryLinux惡意軟件使用的C&C服務器相同：cl.ezreal.space:2048。

尤拉科夫斯基解釋稱，SambaCry專門針對*nix系統。CowerSnail使用Qt編寫，這說明開發人員并不希望探究WinAPI細節，更愿意“照搬”*nix代碼。

這名安全專家認為，上述事實，再加上兩款軟件使用的C&C服務器相同，可以合理推測CowerSnail和SambaCry漏洞利用由同一組織開發。該組織創建了兩個獨立的木馬：各自針對特定平臺，并且各具特點，該組織未來可能會開發更多惡意軟件。

CowerSnail具體功能

與SambaCry不同的是，CowerSnail不會默認下載虛擬貨幣挖礦軟件，而是提供標準的后門功能：

接收更新(LocalUpdate)

執行任何命令(BatchCommand)

安裝CowerSnail作為一種服務，使用服務控制管理器(Service Control Manager)命令行接口(Install)

將CowerSnail從服務列表卸載(Uninstall)

收集系統信息：

時間戳;

安裝的操作系統類型(例如Windows);

操作系統名稱;

主機名稱;

網絡接口名稱;

ABI;

核心處理器架構;

物理內存信息。

尤拉科夫斯基還在CowerSnail C&C服務器流量中發現一些線索，表明開發人員正在研究添加IRC協議支持。惡意軟件開發人員通常會在IRC通道中鍵入命令使用IRC協議控制被感染的主機。基于IRC的C&C服務器通信通常用于僵尸網絡，而非后門木馬。

SambaCry漏洞

SambaCry漏洞(CVE-2017-7494)能被用來將共享庫上傳至可寫共享，并導致服務器加載該共享庫，這就允許遠程攻擊者在目標系統上執行任意代碼。

SambaCry漏洞已于5月修復，影響幾個廠商的產品，包括路由器和網絡附加存儲(NAS)設備。事實上，Trend Micro 7月初發現一款惡意軟件利用 SambaCry漏洞攻擊NAS設備，尤其中小型企業使用的NAS設備。