防火防盗防同行:木马Rombertik的“自我摧毁”机制原来是为了防盗版 - APT防御产品

防火防盗防同行:木马Rombertik的“自我摧毁”机制原来是为了防盗版

本月早些时候,安全研究人员发表了一份关于Rombertik的报告。Rombertik是信息窃取木马Carbon Grabber (Infostealer.Retgate backdoor)的新版本,按照当时的说法,这款恶意软件使用多种机制防止研究人员对其进行分析,包括沙盒逃逸和“自毁”——如果Rombertik检测到有人在尝试对它进行分析,它会立即摧毁设备的MBR(主引导记录)使得取证专家难以读取数据。

自毁是为了防盗版

赛门铁克的研究人员认为“自毁”功能针对的是那些试图使用、修改这款木马的人。Rombertik的作者把它卖给其他犯罪团伙,而这些被传播的版本的二进制代码中包含C&C服务器的地址,这使得客户不能更改。很多黑客会尝试反编译而使用“盗版”恶意软件,他们试图更改C&C地址为自己的,并逃避向Rombertik团队支付费用。

为了防止犯罪组织更改Rombertik代码,这款木马的作者加入了覆盖MBR、以及对受感染机器上的文件进行加密的功能:如图,当黑客试图“盗版”Rombertik木马时,屏幕上就会显示“Carbon crack attempt, failed.”

加密的C&C服务器地址

赛门铁克的专家还发现了很多反篡改的方法,比如他们发现C&C服务器的URL是使用RSA密钥经过加密的。

    

Rombertik把RSA密钥哈希隐藏在PE头的time field中。这个哈希值会被与所使用的哈希值比较。如果哈希值匹配,一切正常。而如果有脚本小子尝试用另外的密钥替换这个RSA密钥,结果就会导致二者不匹配,就会触发自毁。

但木马的作者在隐藏加密密钥时犯了个小小错误:

“我们可以使用公钥对另外(我们自己的)的C&C URL进行加密,可以使用密钥对其进行解密。也就意味着如果有人想要重复利用这款木马而不想重新再买一个,他们就可以采用这种方法。”


转载请注明出处 APT防御产品 » 防火防盗防同行:木马Rombertik的“自我摧毁”机制原来是为了防盗版

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址