最初由趋势科技[1] [2],Zscaler [1] [2],Cyphort和恶意软件研究不需要咖啡,Bedep恶意软件系列专注于广告/点击欺诈和下载其他恶意软件。ASERT的首个样本日期为2014年9月22日,这与趋势科技在遥测中开始看到的情况一致。在2015年初,当家庭被观察为Angler漏洞利用工具包的某些实例的恶意软件负载时,该家族得到了更多的关注,利用当时为0天的Adobe Flash Player漏洞利用(CVE-2015-0311)。还观察到这个较新的版本使用域生成算法(DGA)来生成其命令和控制(C2)域名。

这篇文章提供了关于DGA的一些附加说明,包括概念验证Python实现,查看最近的两组DGA生成域,并总结了一些sinkhole数据。

样品

以下Bedep样本用于此研究:

MD5 e5e72baff4fab6ea6a1fcac467dc4351
MD5 1b84a502034f7422e40944b1a3d71f29
前者最初来自KernelMode。

算法

我发布了一个概念证明(读:对我有用)DGA的Python实现到ASERT的Github。

在撰写本文时,我发现了两个DGA配置。每个配置包含三个常量和整个算法中使用的神奇双字表。下面的屏幕截图突出显示了第一个示例中的表格:

IDA

Bedep的DGA首先从以下位置下载XML文件:

http://www.earthtools.org/timezone/0/0
此合法Web服务提供纬度为零和经度为零的时区和本地时间。<utctime>时间戳被解析出来并从year zero(0000-00-00)转换为毫秒。然后,从中减去1-3天(取决于滴答计数时间 - 这感觉就像一种反分析技术),并将其转换为自零年以来的天数。该值将在下一步中使用。

接下来,Bedep从以下位置下载XML文件:

http://www.ecb.europa.eu/stats/eurofxref/eurofxref-hist-90d.xml
此欧洲中央银行(ECB)的合法文件包含最近90天的“ 欧元外汇参考汇率 ”,并且每日更新。每个日期都从<Cube time =“...”>标签中提取,然后从“零日期减去一”计算出零日起的日期。如果值以后的天数小于或等于第一步中计算的值,并且如果它落在星期一,则提取并使用“日期”的外汇参考汇率。这是一个显示这个过程的视觉效果:

days_since

经过测试,我的分析显示Bedep使用“上周二”的外汇参考汇率更新 - 其中“上周二”指的是“前一周的周二”,直到“本周的周四”。在此之后,它意味着“本周的周二”。

从这里开始,算法变得有点不透明。各种值,例如“天以来”,第一个解析的货币的缩写,第一个解析的货币的费率的低双字,来自提取的表的神奇双字值(如上所述),以及各种其他常数和计算值被转换为多个倍。我无法推断出这些变换的“大图”,因此我将它们视为黑盒子,其中输出是要生成的域的数量,以及将用于计算模块化指数起始种子的三个值。如果有人有关于此黑盒子的更多详细信息,请联系我们!

对于第一个配置,要生成的域数为22,对于第二个配置,要生成的域数为28,每组总共50个域。要生成每个域,起始种子和外汇参考速率会进行多次转换,以计算域长度和域字符本身:

混入

最小域长度为12,最大域数为18.到目前为止,我只看到过“.com”TLD。

运动

在撰写和使用2015-04-07的外汇汇率时,以下是此套装中的八个注册域名:

agabovyxdgcbibu.com
rbnfimetzgg9v.com
wpqkvmpezecumbvl7.com
vtvykahskh9m.com
rpmrkmqyxplqitnyd.com
akgsuqlnipxhwf.com
pdbfeobggolhbgbn.com
nimyusfhqwizzgb.com
前两个在2015-04-13注册,接下来两个在2015-04-11,然后是2015-04-10,最后两个在2015-04-08。所有这些都使用以下注册人信息:

谁是

此信息与Zscaler观察到的内容一致。

使用2015-04-14之前的外汇汇率,以下是到目前为止注册的域名:

prlvlpdeiopx.com(5.196.181.244)
tqadnvxgppn1.com(5.196.181.244)
gllmrtvteldx.com
uydsqobdcmcxpdxng.com
owwiloxvthttt1.com
gcrnbgjlsgchu.com
前两个是在2015-04-19,然后是2015-04-17注册,最后两个在2015-04-15注册。所有六个人都使用了上面提到的同一个注册人。

天坑

为了更好地了解上述活动的活跃程度和广泛程度,我们设置了一个下沉洞。污水池是vmznlwrgtcnasmfhz.com,并且从2015-04-13 13:47 UTC到2015-04-16 17:06 UTC(大约3天)它从大约82,127个独特的源IP接收到电话之家。已解决的源IP的前10个TLD是:

网(31578)
com(11952)
de(3193)
mx(2611)
tr(2104)
它(1521)
pl(1500)
fr(1440)
br(1360)
au(1247)
ca(1107)
jp(1054)
es(769)
而且,除俄罗斯外,地图上都有感染:

sinkhole1