安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 逆向工程 > 揭秘:西班牙制造的针对性攻击木马Machete

揭秘:西班牙制造的针对性攻击木马Machete

时间:2014-11-06来源: 作者:JohnChu点击:
简介前一段时间,卡巴斯基实验室的一位拉丁美洲的客户与我们联系,说他去了中国,他怀疑他的机器被感染了未知的而且无法被检测到的恶意软件(FreeBuf小编:又黑我中国……)。在协助客


简介
前一段时间,卡巴斯基实验室的一位拉丁美洲的客户与我们联系,说他去了中国,他怀疑他的机器被感染了未知的而且无法被检测到的恶意软件(FreeBuf小编:又黑我中国……)。在协助客户的同时,我们发现在他的系统中发现了一个非常有趣的文件,该文件与中国毫无关系,并没有中文编程的痕迹。第一眼看上去,它伪装成一个Java相关的应用程序,但快速分析后,我们发现很明显这不仅仅只是一个简单的Java文件。这是有针对性的攻击,我们称之为“Machete”。

//本文来自安云网

什么是Machete?
“Machete”在西班牙语中指“有针对性的攻击活动”。我们认为这次攻击始于2010年,并于2012年更新完善。而现在攻击仍然非常活跃。

//本文来自安云网

该恶意软件的功能:

//内容来自AnYun.ORG

记录键盘敲击
通过计算机麦克风获取音频
屏幕截图
获取地理位置数据
通过网络摄像头拍照
将文件复制到远程服务器
将文件复制到一个特殊的USB设备中
劫持剪贴板、获取剪贴板内容 

//本文来自安云网

Machete的攻击目标

//内容来自AnYun.ORG

揭秘:西班牙制造的针对性攻击木马Machete

//内容来自安云网

大多数受害者都位于委内瑞拉,厄瓜多尔,哥伦比亚,秘鲁,俄罗斯,古巴,西班牙,等等。在某些情况下,诸如俄罗斯,目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物,其中包括情报部门,军队,驻外使馆和政府机构。

//内容来自AnYun.ORG

Machete如何运行?

//本文来自安云网

该恶意软件是通过社会工程技术,包括通过鱼叉式邮件钓鱼和受感染的虚假博客传播的。我们没有发现软件利用了零日漏洞。无论是攻击者和受害者似乎都是讲西班牙语的。

//本文来自安云网

本次调查期间,我们还发现了许多钓鱼时所使用的文件。这些文件都是些ppt,一旦打开即开始在目标系统安装恶意软件。以下是PowerPoint附件的名字:
//内容来自AnYun.ORG

Hermosa XXX.pps.rar
Suntzu.rar
El arte de la guerra.rar
Hot brazilian XXX.rar 
//本文来自安云网

这些文件实际上是Nullsoft的自解压文件,都是2008年编译的。这些可执行文件包含Python代码,还有必要的Python库,以及PowerPoint文件。结果就是这些文件非常的大,超过了3MB。 //本文来自安云网

以下是PPT文件的截图:

//内容来自安云网

揭秘:西班牙制造的针对性攻击木马Machete //内容来自安云网

揭秘:西班牙制造的针对性攻击木马Machete //内容来自AnYun.ORG

揭秘:西班牙制造的针对性攻击木马Machete //内容来自安云网

这些恶意软件中包含了Python代码。这是非常奇怪的,除了方便编程,这对攻击者没有任何好处。由于这些软件是基于Windows库的,程序不能够跨平台。然而,我们发现,攻击者在程序编写中做好了针对Mac OS X和Unix的准备。除了Windows组件之外,我们还发现了一个手机(Android)的组件。 //内容来自安云网

无论是攻击者和受害者都讲西班牙语,因为我们在客户端的源代码和Python代码中一直看到的都是西班牙语。 //本文来自安云网

被感染的迹象 //内容来自AnYun.ORG

以下代码片段,是在用来感染用户的网站的HTML代码中发现的:

//本文来自安云网

揭秘:西班牙制造的针对性攻击木马Machete

//内容来自安云网

注:感谢来自Korelogic的Tyler Hudak指出,以上的HTML代码是拷贝自SET(The Social Engineering Toolkit)的。
另外以下链接指向到病毒: 
hxxp://name.domain.org/nickname/set/Signed_Update.jar

//本文来自安云网

域名
以下病毒所使用到的域名。任何与域名的连接都非常可疑。
//内容来自安云网

java.serveblog.net
agaliarept.com
frejabe.com
grannegral.com
plushbr.com
xmailliwx.com
blogwhereyou.com
grannegral.com //内容来自AnYun.ORG 

感染文件

//内容来自AnYun.ORG

MD5                                    文件名
61d33dc5b257a18eb6514e473c1495fe     AwgXuBV31pGV.eXe
b5ada760476ba9a815ca56f12a11d557     EL ARTE DE LA GUERRA.exe
d6c112d951cb48cab37e5d7ebed2420b     Hermosa XXX.rar
df2889df7ac209e7b696733aa6b52af5     Hermosa XXX.pps.rar
e486eddffd13bed33e68d6d8d4052270     Hermosa XXX.pps.rar
e9b2499b92279669a09fef798af7f45b     Suntzu.rar
f7e23b876fc887052ac8e2558f0d6c38     Hot Brazilian XXX.rar
b26d1aec219ce45b2e80769368310471     Signed_Update.jar 
//内容来自安云网

病毒的感染痕迹 //内容来自安云网

1、创建Java Update.lnk并指向appdata/Jre6/java.exe
2、恶意软件安装在appdata/ MicroDes/
3、创建进程Microsoft_up 
//本文来自安云网

卡巴斯基实验室已将此病毒命名为Trojan-Spy.Python.Ragua。

//本文来自安云网

  //本文来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容