一种可记录击键并盗窃数据的新型间谍软件出现,它的邪恶之处在于,如果发现自己被分析和检测,就会改写硬盘主引导记录或破坏所有的文件。
思科安全团队塔罗斯于今年初发现这种恶意软件,并将之命名为Rombertik。思科安全高级经理克雷格·威廉姆斯表示,不断进化的恶意软件与安全防护之间尤如一场“数字军备竞赛”。恶意软件不再被动的逃避检测,而是主动的回击检测。
Rombertik在对付检测和分析方面有着各种复杂和非比寻常的手段。比如,它包含1264Kb的垃圾代码,包括75个图像和8000个从未使用过的函数。从而,耗费分析时间。
与许多恶意软件类似,它还能够检测和逃避沙盒。与其他执行前会潜伏一段时间的恶意软件不同,Rombertik会把1字节的随机数据不停地写入内存,写入次数达9.6亿次。沙盒无法区分这种写入与系统正常行为的不同,而且如果把这些数据都记录下来的话,数据量将会超过100G并需要半个小时才能存到硬盘上。而这,只是Rombertik三种反检测分析技术的其中之一。
一旦它躲过检测,便会将自己安装到启动目录并存入AppData目录。最终还将第二次拷贝可执行程序,并且使用拆包后的可执行程序改写新进程的内存。这个拆包后的可执行程序有着骇人听闻的复杂代码,包括交织在一起的大量陌生函数和不必要的跳转以增加分析的复杂性。安全研究人员表示,想理出这种数百个节点的代码流程图来,“结果是一场恶梦。”
Rombertik最邪恶之极的地方在于,它会在内存计算出一个哈希数,然后与拆包后的程序做比较。如果发现两者有所不同,它就会尝试改写硬盘的MBR(主引导记录),计算机专业人员都明白这意味着什么。如果没有写入成功,它就会破坏用户目录中的所有文件,使用随机生成的RC4密钥加密所有的文件。
大多数携带Rombertik的钓鱼邮件会包含一个.zip文件的附件,如果用户解压这个文件就会看到一个文件的缩略图,比如PDF,但它实际上是一个.scr文件。一旦它躲过检测并得以执行,便会扫描运行中的系统进程,寻找三大浏览器的实例,并将自己注入相关进程。它能够通过API函数处理明文数据,在加密前读取浏览器的击键记录,如用户名、口令、账号等。
Rombertik不加区别的尽可能的盗取所有的用户数据,并将之编码(base64)后发送到攻击者的命令控制服务器。思科安全小组在报告列出了其中一个域名:
www.centozos.org.in/don1/gate.php
思科塔罗斯小组表示,该恶意程序在年初发现时还鲜为人知,并几乎有着零检测率。但现在已经发现了更多,今后很可能会有一些恶意软件作者模仿它的手段。
作者:Recco
来源:51CTO