窃密程式CoreBot的五芒星评估

恶意程序威胁评估五类行为的监测方法及实战。

待评样本

• Corebot

五芒星

回顾我们的五芒星评估法:

1. 破坏(Destroy)
2. 窃密(SSI)
3. 远控(RC)RemoteControl
4. 感染(Infect)
5. 平台(Platform)

默认为0星-一格.以保证不忽略4种特征强度为0的情况.
五种特征每种分为三级:存在,较完善,非常完善.

让我们看一下我们此次评估的样本:

评估Corebot

像CoreBot这样的信息窃取程序则很容易被研究员们忽略，因为它的危害不如木马严重。-简单

Corebot是IBM发现的一款新型数据窃取恶意程序.
让我们来看一下这款容易被忽略危害的程序被五芒星分析的情况:

平台:

CoreBot最有趣的部分就是它的插件设计，更加的模块化，也更容易添加一些窃取能力。在终端设置好持久性的机制之后，CoreBot便会立即从其C&C服务器上下载插件。然后使用插件DLL中的plugininit导出函数加载插件。

它确实拥有自己的插件平台,这要远胜其它恶意程序,我们没有看到插件兼容等相关信息,所以无法对其进行真正估量.显然其在此应当属于2星.因为平台保护功能尚不能称绝.

窃密插件:

当下CoreBot使用的是名为Stealer的插件，它能窃取保存在浏览器中的密码及其凭证。它还能从桌面应用程序中搜寻到FTP客户端、邮件客户端、webmail服务、加密电子钱包中存储的凭证和数据。但缺点是CoreBot还不能获取浏览器上的实时数据。

CoreBot在原始版本并不具有窃密功能,而是在驻扎安稳后通过平台下载相应插件实现的.由于它的窃密能力已经足够完善,不能获取实时数据可能在机制允许下的一个版本更新即可完成.我们给三星评价.

域生成算法:

IBM表示还在恶意软件中发现了未激活的域生成算法，该生成算法可以根据受害者所处的地理位置构建域。而通过DGA生成的域名只有恶意软件操作者才知道，这样也就不会被安全研究员和其他的网络犯罪组织发现。

域生成算法隶属于平台特征,即维持恶意程序后序更新的能力.虽然它并未启动,但是已经集成的代码往往可能在一昼夜内开启.这并不是什么难题对于恶意程序作者.或许他在思考更优秀的方案.

更新:

一旦CoreBot感染了电脑系统，它就会利用windows Power Shell和微软自动化功能，配置管理框架等工具下载、安装、执行其他的一些恶意软件。同时，CoreBot还可以利用这些工具进行自我更新。

这种更新使它变得新颖有趣.利用现有的合法设施去完成自己的工作和使用”奇技淫巧”孰优孰劣?仁者见仁.

我们根据现有信息对CoreBot的威胁性评估是:
1. 破坏(Destroy)
一星
2. 窃密(SSI)
三星
3. 远控(RC)RemoteControl
一星
4. 感染(Infect)
零星
5. 平台(Platform)
二星

其重点乃是维护平台的能力.足够让它升级为任何它想要的样子,破坏一切.

如此清晰明了.我不认为哪位专业的反病毒工程师会对这幅图所展示的恶意程序掉以轻心.这足以显示五芒星图是对程序行为特征的高度抽象.

致谢

本文分析样本信息来源FreeBuf.com.