事件概述
Pykspa(也称为Pykse、Skyper或SkypeBot)是一种通过 Skype 传播的蠕虫。基于山石网科智源情报系统视野,我们发现国内存在多家国内企业疑似受到Pykspa蠕虫感染。本次我们将围绕Pykspa相关样本展开详细分析。
详细分析
本次分析的恶意样本执行主要分为两个阶段执行,在程序启动时,会通过输入的命令行判断当前程序执行处于哪个阶段:
01
检测阶段
在首次启动时,执行时参数为空,程序处于检测阶段,使用多种方式来检测或者绕过安全扫描以确保程序流程得以安全执行。
-
判断操作系统环境:
-
关闭UAC:
SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA
-
检测虚拟环境:
-
创建互斥量以确保程序不重复运行
-
持久化
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
SOFTWAREMicrosoftWindowsCurrentVersionRun
SOFTWAREMicrosoftWindowsCurrentVersionRunOnce
SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun```-
混淆文件:
最终执行vahoy.exe,使用参数0x22,0x2d,0x22。
02
功能执行阶段
在通过检测阶段后,检测到启动参数0x22,0x2d,0x22时,则进入功能执行阶段。在该阶段创建多个线程来完成程序的主要功能,功能如下:
-
创建线程检测鼠标是否移动,周期为1s,若不移动,则计数加一。
-
删除System Volume Information目录下的文件,破坏系统还原信息。周期为4个小时。首次执行事件为线程建立10分钟后。
-
禁用处于全局列表ServiceNameList中相关的服务和并隐藏相关窗口。该列表可通过指令“da”进行修改
-
从多个IP查询网站中随机选取一个进行查询,获取失陷设备的外部IP。 -
与以下网站列表随机进行连接,用以获取当前日期CurDate,并且获取使用GetTickCount获取当前系统运行时间戳LogTickCount。
//www.google.com
//www.facebook.com
//www.myspace.com
//www.youtube.com
//www.yahoo.com
//www.wikipedia.org
//www.blogger.com
//www.adobe.com
//www.bbc.co.uk
//www.imdb.com
//www.baidu.com
//www.ebay.com
-
记录按键信息,写入“.ylp”文件中。 -
使用域生成算法DGA生成域名,以试图与域名服务器进行连接。 -
扫描“C:Program Files (x86)”下的文件,重命名文件,并将文件设置为隐藏。 -
遍历磁盘中的rar后缀的压缩文件,将自身添加到压缩文件中。 -
遍历磁盘中的文件信息,复制到%temp%gmucnttajselr文件夹,打包压缩。文件后缀列表如下:
".doc"
".jpg"
".jpeg"
".rtf"
".gif"
".ppt"
".xls"
".bmp"
".3gp"
".txt"
-
查看445端口是否打开,扫描共享资源,将自身文件数据覆盖到以下几种后缀的文件中。
"rar"
"bat"
"pif"
"exe"
"scr"
-
发送带有链接的信息给Skype、twitter的联系人,试图诱导目标下载并执行Pykspa。
03
命令与控制
与远端服务器连接后,使用以下指令与服务器进行连接。
|
指令 |
功能简要介绍 |
|
dw |
从远端服务器下载文件到本地,并执行,大小限定为10MB以内 |
|
dws |
从远端服务器下载文件到本地,并执行,文件大小限定为3MB以内 |
|
up |
无功能 |
|
kill911 |
退出当前进程 |
|
cm |
以指定参数执行进程。 |
|
sl |
程序休眠指定时间 |
|
sc |
上传粘贴板中的数据 |
|
rr |
强制关闭操作系统,然后重启操作系统 |
|
hd |
与指定网络服务器进行连接。 |
|
ds |
将两个flag置为0,用于中断其他指令发出的网络连接。 |
|
hdz |
向指定邮件服务器发送邮件 |
|
hh |
向指定文件的尾部写入数据。 |
|
da |
修改程序内配置ServiceNameList,指定需要关闭的服务名称 |
|
dr |
将配置ServiceNameList中的字符串更替为小写。 |
|
di |
将杀毒引擎等安全引擎相关服务写入配置ServiceNameList |
|
ccd |
下发数据文件到SYSTEM、PROGRAM_FILES、APPDATA、Windows目录下。 |
|
ccra |
清空“ccd”指令中的数据缓存。 |
|
fd 1 |
递归获取指定路径下的文件,使用随机字符覆盖文件数据 |
|
fd 0 |
递归获取指定路径下的文件,删除所有文件信息 |
|
ff |
取消隐藏文件的休眠时间,提高扫描并隐藏文件的效率。 |
|
fdf |
将隐藏的文件复原。 |
|
rf |
设置flag,开始遍历文件夹中的rar压缩文件,将temp目录下的“scoapzimzh.exe”添加到rar压缩文件中。 |
|
inwv |
从指定服务器下载文件到本地%temp%目录下,并执行“rrbr”指令,扫描设备上的共享资源,使用自身文件数据覆盖文件内容。 |
|
rrbr |
扫描设备中的图像文件,并压缩文件到%temp%目录下 |
|
gss |
从服务器下载文件到本地命名为“btlc.dat” |
|
set |
根据指令修改所有指令配置 |
处置建议
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
原文始发于微信公众号(山石网科安全技术研究院):Pykspa蠕虫样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论