CARBERP命令與控制服務器又被攻陷

CARBERP研究結果又再一次證明惡意軟件作者更會隱藏自己和建立自己專用的秘密通訊管道。而且今天的機構們對處理這些問題是準備不足的，如同之前未偵測的泄漏了私密資料。

據(jù)稱，Botnet從2010年年初就開始部署了，但直到去年九月前都避免被注意到。Malware Intelligence在2010年2月的報告指出新型CAB檔案增加了專門用來盜取證書（“certificates”），密鑰（“keys”）和銀行憑證（“banking credentials”）的功能。

Trust Defender在去年10月報導CARBERP能夠經(jīng)由掛勾（“hooking”） Wininet.dll和USER32.DLL的輸出函式表（“export table”）來控制網(wǎng)路流量。Seculert.com在今年2月初報導了如何生成專用的RC4密鑰來加密竊取的資料。

不需要提高權限就可運作

CARBERP C&C服務器具備有可擴充功能的設計，可以入侵某一版本W(wǎng)indows上的多種應用程式。從第一次記錄開始，CARBERP僵屍網(wǎng)路/傀儡網(wǎng)路 Botnet經(jīng)由post /set/first.html傳出了所有正在運行的程序（“processes”），然後透過post /set/plugs.html來要求套件（“Plug-ins）或是透過post /set/task.html來取得任務。

CARBERP還能夠在使用者權限下運作，而不需要去更改注冊表或系統(tǒng)檔案。它利用了檔案系統(tǒng)本身的功能去隱藏自己。CARBERP跟很多應用程式一樣都會新增一個啟動捷徑，也可以假造網(wǎng)站，鍵盤側錄，并利用編碼訊息來建立秘密通信管道。CARBERP可以經(jīng)由找到聯(lián)結不存在檔案的程序而發(fā)現(xiàn)。

從C&C流量中的發(fā)現(xiàn)

一個CARBERP攻擊的C&C服務器被置換成了只有登錄連接但沒有提示后續(xù)資訊交換的服務器。這個假CARBERP C&C服務器也沒有使用IPv6地址，這可能是一個錯誤。跟解析IPv4位址的電腦比起來，絕大部分的受害者電腦都會嘗試去解析IPv6位址。而且之後的HTTP連接也很少。從這一點看來，不完整的C&C資訊交換可能導致傳送機密資訊的通訊被轉(zhuǎn)送到其他地方，透過設定擋掉，或阻止傳送。

為什么是這些目標？

我們聯(lián)絡了特定C&C服務器所監(jiān)控的CARBERP感染電腦的用戶，沒有了那些可能已被破壞的詳細資訊，為什么這些特定的受害者是這C&C的服務器的目標就只能是個猜想。

CARBERP命令與控制的相關敘述還有很多，請有興趣的讀者多多關注這方面的內(nèi)容，我們也會繼續(xù)關注的。

【編輯推薦】

1. 網(wǎng)絡安全的靈魂之安全策略
2. 混合交付：云只是路徑之一
3. "應用"是王道 錦囊妙計謀安全
4. WatchGuard加強電子郵件安全應用