研究人员相信这是加载程序安装到受感染主机上的后门,此外,研究人员认为,Team9后门的第一个变体已于2020年3月下旬开始出现在野外。每个变体似乎都没有发生重大变化,后门的核心技术保持不变。
在分析过程中,研究人员发现了后门和它的加载程序之间的相似之处:
1.创建一个具有硬编码名称的互斥锁,以避免同时运行多个实例,到目前为止,研究人员已经确定的互斥锁名称为“mn_185445”和“{589b7a4a-3776-4e82-8e7d-435471a6c03c}”;
2.验证键盘和操作系统语言是否为俄语;
3.在域名选择中使用具有相似性的Emercoin域名;
此外,后门为受感染的主机生成唯一的ID,其过程如下:
1.查找“C:\ Windows”(Windows FILETIME结构格式)的创建日期,然后将结果从十六进制格式转换为ASCII表示形式,图5(转换前)和6(转换后)。
2.重复相同的过程,除了文件夹“C:\ Windows \ System32”;
3.将第二个字符串附加到第一个字符串,并使用项目符号作为分隔符,例如01d3d1d8 b10c2916.01d3d1d8 b5b1e079。
4.获取NETBIOS名称,并将其附加到步骤3中的前一个字符串中,并将项目符号作为分隔符。例如:01d3d1d8 b10c2916.01d3d1d8 b5b1e079.DESKTOP-4123EEB。
5.读取C:驱动器的卷序列号并将其附加到前面的字符串中,例如:01d3d1d8 b10c2916.01d3d1d8 b5b1e079.DESKTOP-SKCF8VA.609fbbd5。
6.使用MD5算法哈希步骤5中的字符串,输出的哈希是恶意软件的ID。
注意:在一些示例中,上述算法有所不同。开发人员使用硬编码的日期、字符串格式的Windows目录文件路径(' C:\Windows '和' C:\Windows\system32 ')和NETBIOS名称。根据示例的功能,有许多迹象表明这些二进制文件是为了调试目的而创建的。
转换前
转换后
网络通信
后门似乎支持通过端口80(HTTP)和443(HTTPS)的网络通信,在最新的样本中,从受感染的主机发出证书,以通过HTTPS进行通信。对命令和控制服务器的每个请求至少包括以下信息:
1.请求任务(/ 2)或发送结果(/ 3)的URI路径;
2.组ID,这会被添加到“Cookie”标头中;
最后,与加载程序使用主机的日期作为密钥解密从命令和控制服务器收到的网络答复的加载程序不同,Team9后门使用恶意软件的ID作为密钥。
Bot命令
后门支持各种命令:
表7总结了向命令和控制服务器报告(POST请求)的每个命令的报告结构。注意:在一些示例中,如果它不能与Bazar域通信,后门将结果报告给一个额外的IP地址(185.64.106[.]73)。