自2014年9月以来,我不时的发现有FakeAV家族的木马出现。这个家族因两个名字而为人所知:Braviax和FakeRean。该家族的木马已经活跃了数年,最初是由S!Ri于2009年4月第一次发现的。
在这篇文章中我(作者)会对FakeAV家族的木马按时间线从2009年开始至今进行一个分析。这里非常感谢S!Ri分享了一些关于FakeAV家族木马的历史数据。为什么我会在此时也就是今年的9月分享这篇文章?如果你跟随我下面梳理的时间线你就会发现,每年的9月份FakeAV家族的木马都会变得活跃起来。
Braviax/Fakerean家族木马跟我在2014年2月分析的Tritrax(一种FakeAV木马)家族木马有很多的相似处(去年的分析文章:http://blog.0x3a.com/post/75474731248/analysis-of-the-tritax-fakeav-family-their-active)。Braviax/Fakerean同样会随着时间的推移不停的变换着自身的名字,下面的截图是从2014年9月到2015年1月其使用过的名字:
如前所说,从2014年9月开始,这个变种木马变得活跃了起来。在见过数次这种木马后,我决定要对其进行一些深入的研究。其实我之所以发现这些名字在不停的变化,是因为我发现其网站、网站banner信息以及其“杀毒软件”软件的名称不匹配,我曾9月27日在推特上说过这些:
#FakeAV website calls it 'Rango Antivirus’, banner 'Win XP Security’, sample run 'A-Secure’ (https://t.co/EgYDdzDqFd) pic.twitter.com/i1amKQLsIy
— Yonathan Klijnsma (@ydklijnsma)November 27, 2014
从这点上我开始关注这个FakeAV木马到底有多大的威胁,很快我就发现它实际上是Fakerean/Braviax家族的一员,于是我便着手开始分析。
传播机制分析
分析首先从其是如何传播的开始,很简单通过邮件传播。最早在2014年12月18日左右出现于伪造的FedEx邮件中,欺骗用户下载使用其FakeAV。邮件截图如下:
在这个邮件的附件中我们发现了一个JS文件:
在这个JS脚本中我们发现大量的混淆代码:
当我们还原出原始JS后,就会发现它只是一个简单尝试下载3个恶意软件文件的脚本:
这三个下载文件才是本文最精彩的部分,它们就是Braviax/FakeRean的样本。如果你想获取样本自己分析,你可以从这里获取到:1d01611a1f88c7015c54efedacfcbc8fec55ad6de9a438087abff3be78c19901
#p#
快速分析一个Braviax/FakeRean样本
因为这篇文章更多是关于这个木马家族的历史而不是木马本身的分析,所以下面只会进行一个非常简短的分析。
当在感染的电脑上运行FakeAV会显示如下信息:
当你尝试关闭FakeAV窗口(或其他方式关闭)时,其会弹出一个假的Windows安全中心:
为了不被用户察觉,FakeAV会将自身复制到另一个位置并在注册表中注册一个键值,这些都是常见的持续访问方法。FakeAV也会一直监视着其他运行的进程并杀死那些它不喜欢的进程,包括taskmgr这样的系统工具以及wireshark这类工具。FakeAV做的一切都是为了对用户进行适度的恐吓以劝说用户去购买它的“产品”以彻底清除用户受到的“感染”。
FakeAV也会进行一些C2通信,包括支付C2服务器上的信息:
客户端会向gelun-posak.com的C2服务器发送一个请求,path是一个经过Base64编码后的唯一系统ID号。服务器的相应中包含一个很小的配置文件,上图中部分可读的字符串“eo-moquales.Nom”经过解码后实际上是真正的交易地址“golen-mortales.com”。
这个木马同我之前分析的其他木马没什么太大的区别。支付服务运行在分布式的C2服务器上,主C2服务器只用来登记和统计感染信息。好了,关于恶意软件到此为止了,我们主要来关注下这个木马家族的历史吧。#p#
木马家族
Braviax/Fakerean这个FakeAV木马家族已经出现了很多年了,S!Ri最早于6年前汇报了这个家族。回到2009年4月份,那时的样本以“Home Antivirus 2009”的名字出现:
到了7月初,紧随其后的第二个版本名为“PC Security 2009”:
第三个版本出现在7月底,这时名为“Home Antivirus 2010”(尽管此时还是2009年):
差不多到了8月底第四个版本出现了,这次名为“PC Antispyware 2010”。这一版本加载了一个从ClamAV(实际上是2007的老版ClamAV)窃取来的杀毒软件数据库:
9月5日又出现了新的版本,“Antivirus Pro 2010”:
在2009年里,Braviax/Fakerean家族总共出现了5个版本,从9月份到2010年1月底都没有在出现过新的版本。在2010年1月底出现了一个全新的版本,这个版本最大的变化在于木马会自动判断运行的系统为Windows XP, Vista或是Windows 7。即使是在同一个操作系统下面,这个木马依旧会出现很多名字。在Windows XP平台下它可能会叫以下名称:
Antivirus XP 2010
XP Guardian
XP Internet Security
在Windows Vista平台下会出现以下名称:
Vista Antivirus Pro 2010
Vista Internet Security 2010
最后,在Windows 7平台下会则会出现以下名称:
Win 7 Antispyware 2010
Win 7 Internet Security 2010
根据平台来确定名称这是一个很有趣的变化。在这个版本出现后,直到11月份该家族都没有出现新的成员。而11月份出现新的版本跟之前基本一致,只是将以前版本名称中的2010替换为了2011。下面以XP样本为例:
XP Security 2011
XP Antispyware 2011
2011年2月出现的新版本也只是微调了名称以及GUI布局。
XP Anti-Virus 2011
XP Home Security 2011
XP Anti-Spyware
在2011年6月底一个新的版本被发现。这个版本继续更新了名称和GUI布局。
XP Internet Security 2012
Win7 Internet Security 2012
另一个稍微有更新的版本出现于2011年11月底,同样是基于操作系统变换名称的:
2012年1月份出现了一个GUI改动较大的版本:
在2012年10月又出现了一个稍微有所更新的版本。依旧还是基于操作系统变化名称的,变化的只是GUI:
然后快一年后,在2014月9月份新的版本出现在了我的分析中。全新的GUI以及名称显示出了巨大的变化。它会以如下名称出现:
1、Sirius (Win 7|Win 8|Vista) Protection 2014
2、Zorton (Win 7|Win 8|Vista) Protection 2014
3、Rango (Win 7|Win 8|Vista) Protection 2014
4、A-Secure 2015
5、AVbytes (Win 7|Win 8|Vista) Antivirus 2015
6、AVC Plus
其界面如下:
然而,2011年9月底出现了一个名为“Advanced PC Shield 2012”的后代,和另一个在2012年8月出现的名为“Win 8 Security System”的后代:
尽管这两个版本也属于Braviax/Fakerean家族,但在配置上同家族其他成员还是有些不同。
总结
Braviax/Fakerean家族从2009年4月出现至今已经经历很长一段时间,但每年其都可以成功的“借壳重生”。
Braviax/Fakerean家族没有像银行恶意软件或勒索软件那样被定义为具有很大的威胁,是因为它们的低调以及它们是在不引起人们的警觉的情况下进行适度的恐吓。未来我会继续对它们保持关注。
IOC和样本
下列样本为2014年9月至2014年12月的最后一次版本列表。截止本文完成时没有在发现新的样本。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下面是样本涉及到的域名和IP地址:
IP Address Domain
146.185.239.110 evcash.net
146.185.239.110 softrango.com
146.185.239.111 ltsectur2.com
146.185.239.111 ltsectur9.com
146.185.239.111 fscurat20.com
146.185.239.111 fscurat21.com
146.185.239.112 fastprodst5.com
146.185.239.112 fflord25.com
146.185.239.112 fflord30.com
146.185.239.112 giron32.com
146.185.239.112 glorius11.com
146.185.239.112 golus27.com
146.185.239.112 gshsol4.com
146.185.239.112 holipolks12.com
146.185.239.112 scara123.com
146.185.239.112 scara124.com
146.185.239.112 smart-filins.com
146.185.239.112 srut12.com
146.185.239.112 srut19.com
146.185.239.113 gskskkksa4.com
146.185.239.113 jarr62737.com
146.185.239.114 gislat2for8.com
146.185.239.114 gislat4se2.com
146.185.239.114 gladi-toriusa.com
146.185.239.114 holisak-tasek.com
146.185.239.114 hysotasl.com
146.185.239.114 kaaalosa-set.com
146.185.239.114 shatiko-mero.com
146.185.239.114 svars-sta.com
146.185.239.114 tauruk-felon.com
146.185.239.114 trader562.com
146.185.239.114 veret-sapan.com
146.185.239.114 vertus-adusa.com
146.185.239.114 vesm-arast.com
146.185.239.114 zemo-numeros.com
146.185.239.114 zumo-afetuk.com
146.185.239.114 zumo-alibabs.com
146.185.239.114 zumo-archib.com
146.185.239.114 tauruk-felon.com
146.185.239.248 gelun-posak.com
146.185.239.248 fulo-centums.com
62.122.74.111 golen-mortales.com
