Kardon Loader惡意軟體出現在地下論壇的廣告中

圖1: Kardon Loader廣告

要點

·ASERT研究人員發現Kardon Loader在地下論壇的廣告。

·Kardon Loader允許客戶打開自己的botshop，授予購買者重建機器人並向其他人出售的許可權。

·Kardon Loader處於開發初期階段，公開測試階段。

·納入了許多反分析檢查以阻止分析。

一、概述

Kardon Loader是一款惡意軟體下載程序，在地下論壇上作為付費公測產品進行廣告宣傳。這款惡意軟體已於4月底開始由用戶Yattaze發售。該惡意行為者將惡意軟體作為獨立版本銷售，並為每次額外的重建收費；或者設立botshop，在這種情況下，任何客戶都可以建立自己的運營網路並進一步銷售新的客戶群。

惡意軟體作者和分銷商利用downloaded惡意軟體和botshop來構建惡意軟體分發網路。惡意軟體分發網路通常被網路犯罪分子用來創建殭屍網路來分發額外的payload，例如憑證盜取軟體、勒索軟體、銀行木馬等等。這些分發網路通常由第三方運營商運營，並在地下市場作為服務提供。

二、歷史

2018年4月21日，惡意行為者Yattaze開始以50美元的價格宣傳一款名為Kardon Loader的公開測試版downloaded。根據惡意軟體家族的描述，此惡意軟體是同一個惡意行為者在之前正在開發的ZeroCool殭屍網路的重命名。該惡意行為者自2017年4月起在論壇上擁有一個帳戶，並收到該產品的多個保證金。Loader的廣告擁有專業的外觀及自己的標誌（圖1和圖2）。

圖2: Kardon Loader 價格

惡意行為者提供了一份聲明，聲明不應將此軟體用於惡意目的（圖3）。

圖3: Kardon Loader 聲明

此外，惡意行為者上傳了一個顯示管理面板功能的YouTube視頻（圖4）。

圖4: Kardon Loader YouTube (https://youtu.be/8m1BOoHtcNo)

三、分布

論壇主題表明，惡意行為者最初利用名為「Pink Panther』s automated loads shop (Pink)」的知名botshop進行測試。惡意行為者的評論表明這個機器人目前還沒有廣泛分發。在惡意行為者發布的Loader測試網路屏幕截圖中，只有124個感染（圖5）。

圖5: Kardon Loader 管理面板顯示的感染機器

四、分析

惡意行為者聲稱Kardon Loader提供或即將提供以下功能：

·Bot功能

·下載並執行任務

·更新任務

·卸載任務

·Usermode Rootkit

·RC4加密（尚未實施）

·調試和分析保護

·TOR支持

·域名生成演算法（DGA）

ASERT發現在審查過的樣本中沒有這麼多功能。所有分析的樣本都使用硬編碼的命令和控制（C2）URL而不是DGA。在二進位文件中也沒有TOR或用戶模式rootkit功能。

(一) 反分析技術

Kardon Loader使用了一些反分析技術，例如試圖獲取以下DLL的模塊句柄：

·avghookx.dll

·avghooka.dll

·snxhk.dll

·sbiedll.dll

·dbghelp.dll

·api_log.dll

·dir_watch.dll

·pstorec.dll

·vmcheck.dll

·wpespy.dll

如果任意一個上述DLL句柄被返回，它將退出該過程。這些DLL與防病毒，分析工具和虛擬化相關聯。Kardon Loader還會枚舉CPUID Vendor ID值並將其與以下字元串進行比較：

·KVMKVMKVM

·MicrosoftHV

·VMwareVMware

·XenVMMXenVMM

·prl Hyper-V

·VBoxVBoxVBox

這些是與虛擬化機器相關的已知CPUID Vendor ID值。如果檢測到這些值中的一個，惡意軟體也將退出。

(二) C&C

Kardon Loader使用基於HTTP的C2基礎設施和base64編碼的URL參數。執行後，Kardon Loader將發送HTTP POST到C2，其中包含以下欄位：

·ID =識別碼

·OS=操作系統

·PV=用戶許可權

·IP=初始有效荷載（完整路徑）

·CN=計算機名稱

·UN=用戶名

·CA=處理器體系結構

（圖6）中顯示了從Kardon Loader樣本執行後發送的POST示例：

圖6: Kardon Loader POST 請求

一旦發出請求，C2伺服器將提供不同的反饋：下載和執行其它的有效載荷，訪問網站，升級當前有效載荷或卸載自身。等待命令的C2伺服器響應格式是：

·notask

其他命令包括下載和執行功能使用以下格式：

·newtask`##`＃

· Hashmarks表示兩個字元的任務ID和一個字元的任務值

接下來，受感染的主機會以與以下附加欄位相同的格式向C2發回確認消息：

·TD=任務標識符（由命令和控制提供）

·OP=任務輸出（如果成功則為1，否則為2）

各種樣本的分析揭示了由C2引導的載入程序的另一個參數用於卸載：

·UN=卸載

惡意行為者在他們的廣告主題上發布的帖子表明，將來這個家族的C2通信將被改為RC4加密。另外，如果actor真正實現了DGA，可能會將其用作C2的回聯機制。

(三) 管理面板

圖7: Kardon Loader 管理面板

Kardon Loader面板集成了一個設計簡單的bot分發和安裝統計信息的儀錶板。該面板的一個顯著特點是bot商店的功能，允許bot管理員為客戶生成訪問密鑰，使他們能夠根據預定義的參數執行任務（圖8）。

圖8: Kardon Loader 商店

用戶可以指定一個URL，然後提供任務類型和執行次數，以便將命令分發給網路上的機器人。惡意行為者在YouTube教學視頻中展示了這一點（圖4）。

五、總結與建議

本文概述了稱為Kardon Loader的downloader惡意軟體。Kardon Loader是一個全功能的downloader，可以下載和安裝其他惡意軟體，例如，銀行木馬/憑證竊取軟體等。downloader是惡意軟體生態系統的重要組成部分，通常由專家開發並獨立於作為惡意行動的木馬出售。雖然只有在公開測試版階段，該惡意軟體才具有bot商店功能，允許購買者使用此平台開設自己的botshop。但這位惡意行為者在4月底開始為此Loader做廣告，並表示未來將會在此基礎上完成進一步的開發工作，包括加密的C2通信。

至少，機構應該利用本報告中包含的指標來阻止與Kardon Loader相關的惡意行為。研究人員還可以利用下面的Yara規則尋找其他的Kardon Loader副本來提取其他IOC以阻止惡意活動。

Yara Rule

· https://gist.github.com/arbor-asert/2ad9c7d715f41efc9d59ed8c425d10d3

Hashes

· fd0dfb173aff74429c6fed55608ee99a24e28f64ae600945e15bf5fce6406aee

· b1a1deaacec7c8ac43b3dad8888640ed77b2a4d44f661a9e52d557e7833c7a21

C&C URLs

· Kardon[.]ddns[.]net

· Jhuynfrkijucdxiu[.]club

· Kreuzberg[.]ru

· Cryptdrop[.]xyz

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！