CowelSnail：針對Windows系統的新後門

關注E安全 關注網路安全一手資訊

E安全7月28日訊 上個月，網路犯罪分子利用Samba 漏洞「永恆之紅」（EternalRed）或SambaCry將虛擬貨幣挖礦軟體傳送至Linux伺服器。安全研究人員發現，這群網路犯罪分子開發了一款針對Windows系統的新後門——「CowelSnail」。

經卡巴斯基實驗室產品檢測，這款新的惡意軟體為Backdoor.Win32.CowerSnail）—— CowerSnail使用的命令與控制（C&C）伺服器與SambaCry Linux惡意軟體相同：cl.ezreal.space:20480。

CowerSnail使用Qt（跨平台開發框架）編寫。安全專家認為，CowerSnail開發人員使用Qt是為了直接轉移Unix代碼，而非研究如何使用Windows API。另一方面，雖然在平台之間轉移代碼相對容易，但Qt使生成的文件更大。

CowerSnail是一個不尋常的惡意軟體，通過Qt編寫。Qt是開發跨操作系統應用程序的編碼框架。Qt惡意軟體並不新鮮，但像Codewise這類惡意軟體卻很少見。

卡巴斯基公司的研究人員謝爾蓋·尤拉科夫斯基表示，CowerSnail惡意軟體僅包含基本功能，目前只能作為後門感染主機。

CowerSnail的主要功能是在被感染主機上執行成批命令。CowerSnail從控制與命令（C&C）伺服器接收這些命令。

CowerSnail和SambaCry Linux惡意軟體或同門

尤拉科夫斯基解釋稱，SambaCry專門針對*nix系統。CowerSnail使用Qt編寫，這說明開發人員並不希望探究WinAPI細節，更願意「照搬」*nix代碼。

這名安全專家認為，上述事實，再加上兩款軟體使用的C&C伺服器相同，可以合理推測CowerSnail和SambaCry漏洞利用由同一組織開發。該組織創建了兩個獨立的木馬：各自針對特定平台，並且各具特點，該組織未來可能會開發更多惡意軟體。

CowerSnail具體功能

與SambaCry不同的是，CowerSnail不會默認下載虛擬貨幣挖礦軟體，而是提供標準的後門功能：

1. 接收更新（LocalUpdate）

2. 執行任何命令（BatchCommand）

3. 安裝CowerSnail作為一種服務，使用服務控制管理器（Service Control Manager）命令行介面（Install）

4. 將CowerSnail從服務列表卸載（Uninstall）

5. 收集系統信息：

• 時間戳；

• 安裝的操作系統類型（例如Windows）；

• 操作系統名稱；

• 主機名稱；

• 網路介面名稱；

• ABI；

• 核心處理器架構；

• 物理內存信息。

尤拉科夫斯基還在CowerSnail C&C伺服器流量中發現一些線索，表明開發人員正在研究添加IRC協議支持。惡意軟體開發人員通常會在IRC通道中鍵入命令使用IRC協議控制被感染的主機。基於IRC的C&C伺服器通信通常用於殭屍網路，而非後門木馬。

SambaCry漏洞

SambaCry漏洞（CVE-2017-7494）能被用來將共享庫上傳至可寫共享，並導致伺服器載入該共享庫，這就允許遠程攻擊者在目標系統上執行任意代碼。

SambaCry漏洞已於5月修復，影響幾個廠商的產品，包括路由器和網路附加存儲（NAS）設備。事實上，Trend Micro 7月初發現一款惡意軟體利用 SambaCry漏洞攻擊NAS設備，尤其中小型企業使用的NAS設備。

28

E安全推薦文章

官網：www.easyaq.com

2017年7月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！