新闻快讯
< >

CowelSnail:针对Windows系统的新后门

E安全7月28日讯 上个月,网络犯罪分子利用Samba 漏洞“永恒之红”(EternalRed)或SambaCry将虚拟货币挖矿软件传送至Linux服务器。安全研究人员发现,这群网络犯罪分子开发了一款针对Windows系统的新后门——“CowelSnail”。

CowelSnail:针对Windows系统的新后门-E安全

经卡巴斯基实验室产品检测,这款新的恶意软件为Backdoor.Win32.CowerSnail)—— CowerSnail使用的命令与控制(C&C)服务器与SambaCry Linux恶意软件相同:cl.ezreal.space:20480。

CowerSnail使用Qt(跨平台开发框架)编写。安全专家认为,CowerSnail开发人员使用Qt是为了直接转移Unix代码,而非研究如何使用Windows API。另一方面,虽然在平台之间转移代码相对容易,但Qt使生成的文件更大。

CowerSnail是一个不寻常的恶意软件,通过Qt编写。Qt是开发跨操作系统应用程序的编码框架。Qt恶意软件并不新鲜,但像Codewise这类恶意软件却很少见。

卡巴斯基公司的研究人员谢尔盖·尤拉科夫斯基表示,CowerSnail恶意软件仅包含基本功能,目前只能作为后门感染主机。

CowerSnail的主要功能是在被感染主机上执行成批命令。CowerSnail从控制与命令(C&C)服务器接收这些命令。

CowerSnail和SambaCry Linux恶意软件或同门

CowerSnail和SambaCryLinux恶意软件使用的C&C服务器相同:cl.ezreal.space:2048。

尤拉科夫斯基解释称,SambaCry专门针对*nix系统。CowerSnail使用Qt编写,这说明开发人员并不希望探究WinAPI细节,更愿意“照搬”*nix代码。

这名安全专家认为,上述事实,再加上两款软件使用的C&C服务器相同,可以合理推测CowerSnail和SambaCry漏洞利用由同一组织开发。该组织创建了两个独立的木马:各自针对特定平台,并且各具特点,该组织未来可能会开发更多恶意软件。

CowerSnail具体功能

与SambaCry不同的是,CowerSnail不会默认下载虚拟货币挖矿软件,而是提供标准的后门功能:

  1. 接收更新(LocalUpdate)

  2. 执行任何命令(BatchCommand)

  3. 安装CowerSnail作为一种服务,使用服务控制管理器(Service Control Manager)命令行接口(Install)

  4. 将CowerSnail从服务列表卸载(Uninstall)

  5. 收集系统信息:

  • 时间戳;

  • 安装的操作系统类型(例如Windows);

  • 操作系统名称;

  • 主机名称;

  • 网络接口名称;

  • ABI;

  • 核心处理器架构;

  • 物理内存信息。

尤拉科夫斯基还在CowerSnail C&C服务器流量中发现一些线索,表明开发人员正在研究添加IRC协议支持。恶意软件开发人员通常会在IRC通道中键入命令使用IRC协议控制被感染的主机。基于IRC的C&C服务器通信通常用于僵尸网络,而非后门木马。

SambaCry漏洞

SambaCry漏洞(CVE-2017-7494)能被用来将共享库上传至可写共享,并导致服务器加载该共享库,这就允许远程攻击者在目标系统上执行任意代码。

SambaCry漏洞已于5月修复,影响几个厂商的产品,包括路由器和网络附加存储(NAS)设备。事实上,Trend Micro 7月初发现一款恶意软件利用 SambaCry漏洞攻击NAS设备,尤其中小型企业使用的NAS设备。

相关阅读:

NAS设备面临新威胁:SambaCry安全漏洞引入后门

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。