两个恶意软件分析:“两个软件”已被使用近十年-电子发烧友网

6月3日讯美国国土安全部（DHS）和联邦调查局（FBI）在2018年5月29号发布《隐藏眼镜蛇：Joanap 后门木马和 Brambul 服务器消息块蠕虫》的联合技术警报 TA18-149A，提醒公众注意与国家支持性黑客有关的两个恶意软件家族：Joanap、Brambul，并称这两个恶意软件一旦成功部署，黑客可远程访问设备并窃取敏感信息。

DHS 和 FBI 已经在包括中国、西班牙、瑞典、印度、巴基斯坦、沙特阿拉伯和伊朗等17个国家和地区的87个受损网络节点上发现了远程访问工具 Joanap 的痕迹。

两个恶意软件分析

警报对隐藏眼镜蛇黑客组织（Hidden Cobra）所使用的远程访问工具 Joanap 后门木马和恶意的 Windows 32位服务器消息块（SMB）蠕虫进行了分析。

远程访问工具——Joanap

Joanap 是一款两阶段的恶意软件，可用于建立点对点通信和管理旨在启用其他操作的僵尸网络。该恶意软件为隐藏眼镜蛇提供了在被感染的 Windows 设备上泄露数据、删除和运行辅助有效负载、初始化代理通信的能力。该软件的其他功能还包括：文件管理、进程管理、创建和删除目录和节点管理。

分析表明，Joanap 恶意软件使用 Rivest Cipher 4 加密来保护及隐藏与隐藏眼镜蛇黑客组织之间的通信。一旦安装完毕，这个恶意软件会在名为 mssscardprv.ax. 文件的 Windows 系统目录中创建一个日志条目。隐藏眼镜蛇黑客组织使用此文件来捕获和存储受害者的信息，如主机的 IP 地址、主机名称和当前系统时间等。

SMB蠕虫——Brambul

Brambul 恶意软件是一种恶意的 Windows 32位服务器消息块（SMB）蠕虫，其功能是作为一个服务动态链接库文件或一个可移植的可执行文件，经常由 dropper 恶意软件下载并安装到受害者的网络中。执行时，恶意软件会尝试与受害者系统和受害者本地子网上的 IP 地址建立联系。一旦成功，黑客将通过使用嵌入的密码列表来启动暴力密码攻击，应用程序会试图通过 SMB 协议(端口139和445)获得未经授权的访问。此外，恶意软件会为随后的攻击生成随机的 IP 地址。

分析者怀疑恶意软件针对不安全或无安全保障用户账户进行攻击，并通过安全性较差的网络共享进行传播。一旦恶意软件在受害者的系统上建立了未经授权的访问，它会通过恶意的电子邮件地址将受害者系统的信息传递给隐藏眼镜蛇黑客组织。这些信息包括每个受害者系统的 IP 地址、主机名、用户名和密码。隐藏眼镜蛇黑客组织利用这些信息，通过 SMB 协议，远程访问被感染的系统。

研究人员对 Brambul 恶意软件的一个新变种进行了分析，确定了该恶意软件具有的功能包括：收集系统信息、接收命令行参数、生成并执行自毁脚本、通过 SMB 在网络上传播、强制 SMB 登录凭证以及生成包含了目标主机系统信息的简单的邮件传输协议电子邮件信息。

“两个软件”已被使用近十年

官员们认为，隐藏眼镜蛇至少从2009年开始使用这两种形式的恶意软件，针对包括美国在内的全球媒体、航空航天、金融和关键基础设施组织进行攻击，且都认为 Joanap 和 Brambul 这两种形式的恶意软件都能允许黑客远程访问设备并窃取敏感数据，或进行其他网络攻击活动。

美国官员定期发布与隐藏眼镜蛇黑客攻击的信息，隐藏眼镜蛇被认定为政府支持的黑客组织。

此次 DHS 和 FBI 联合警报表示，FBI 认为隐藏眼镜蛇正在使用被列在本报告中的攻击指示器（IOC）文件中的IP地址，以维持其在受害者网络中的存在并对网络进行开发。DHS 和 FBI 正在分发这些 IP 地址和其他攻击指示器（IOC），以加强网络防御。

官员们鼓励私营部门立即向 DHS 和 FBI 报告任何与这两种形式的恶意软件相关的活动，并为加强缓解提供最高优先级。

缓解策略

针对这两种形式的恶意软件攻击，警报给出了缓解策略。DHS 建议用户和管理员使用以下最佳实践作为预防措施来保护其计算机网络：

保持所运行的系统和软件更新是最新版本。大多数的攻击针对有缺陷的应用或操作系统。使用最新更新进行修补可大大减少攻击者可利用的突破口数量。

保持防病毒软件维持在最新版本，在执行前，对从网上下载的软件进行扫描。

限制用户安装和运行不需要软件应用程序的权限，并将最小特权原则应用到所有系统和服务中。这些权限限制有助于阻止恶意软件的运行或限制其通过网络传播的能力。

扫描并删除可疑电子邮件附件。如果用户打开恶意附件并启用宏，嵌入的代码将在机器上执行恶意软件。企业和组织应考虑阻止可疑的含有附件的电子邮件。