警惕最新的Smoke Loader与Andromeda变种botnet
2.5 功能
下图是该Smoke Loader Botnet的控制台界面:
Smoke Bot可以通过模块对指定的目标地址发起DDos,模块支持以下类型的DDos攻击:
HTTP GET Flood、HTTP POST Flood 、Download Flood、 UDP Flood、SYN Flood 、TCP Flood、HTTPS GET Flood、 HTTP Slowloris Flood
可以嗅探包括以下类型的FTP及浏览器保存帐号信息:
FTP, BitKinex, BulletProof FTP Client, Classic FTP, CoffeeCup FTP, Core FTP, CuteFTP, Directory Opus, ExpanDrive, FAR Manager FTP, FFFTP, FileZilla, FlashFXP, Fling, FreeFTP/DirectFTP, Frigate3 FTP, FTP Commander, FTP Control, FTP Explorer, FTP Navigator, FTP Uploader, FTPRush, LeapFTP, NetDrive, SecureFX, SmartFTP, SoftX FTP Client, TurboFTP, UltraFXP, WebDrive, WebSitePublisher, Windows/Total Commander, WinSCP, WS_FTP
Apple Safari, Flock, Google Chrome, Internet Explorer, Mozilla Browser, Mozilla Firefox, Mozilla Thunderbird, Opera, SeaMonkey
SomkeLoader会在受感染主机上查找保存的邮件地址,并将找到的邮件地址经过Base64编码后发送给控制中心。
Andromeda的功能与SmokeLoader近乎相同,下图是Andromeda Bot的Builder界面。
2.8 文件B超行为分析图
来张文件B超的高清无码图:
三 、安全排查
1.检查系统注册表项: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 中是否存在指向名为svchost.exe的启动项。 2. 检查系统临时目录是否存在名为***.tmp.exe的文件。 3. 检查系统AppData目录是否存在未知的可执行文件。 4. 检查系统中是否存在以上列举MD5的文件。 5. 检查网络流量中是否存在上述列举的C&C请求。
四、结论
不管在功能还是对抗的过程上,Smoke Loader和Andromeda都具有极为相似的特征,而随着僵尸网络市场越来越复杂的利益链条关系,僵尸网络之间的关系也变得错综复杂,曾经就出现过 垃圾邮件僵尸网络Cutwail和Zeus僵尸网络之间发起相互攻击的例子,而现在我们已经看到Smoke Loader Botnet和Andromeda Botnet正在联合,这样的例子以后可能还会更多。
……