6月12日訊 據(jù)安全公司 G Data 近期一份報(bào)告稱，最近發(fā)現(xiàn)的遠(yuǎn)程訪問(wèn)木馬 SocketPlayer 正在使用一個(gè)專門(mén)的程序庫(kù) socket.io，操作者可以此與被感染的設(shè)備進(jìn)行交互，而不需要“信標(biāo)” 消息。

常規(guī)銀行木馬只單向通信

SocketPlayer 后門(mén)與大多數(shù)使用典型單向通信系統(tǒng)的銀行木馬、后門(mén)及鍵盤(pán)記錄程序不同，它通過(guò)使用 socket.io 庫(kù)，可在應(yīng)用程序之間實(shí)現(xiàn)實(shí)時(shí)的雙向通信，根據(jù)這個(gè)特性，惡意軟件處理程序不再需要等待被感染的設(shè)備啟動(dòng)通信，攻擊者可以自行聯(lián)系被感染的計(jì)算機(jī)。

據(jù)稱，后門(mén) SocketPlayer 一旦在被入侵的機(jī)器上安裝成功，便能接收操作者的命令并執(zhí)行各種操作，如嗅探驅(qū)動(dòng)器、屏幕截圖、抓取和運(yùn)行代碼等。研究人員還發(fā)現(xiàn)，SocketPlayer 還能夠選擇性采用其他功能，例如，作為鍵盤(pán)記錄器，盡管在后門(mén)中沒(méi)有實(shí)際的鍵盤(pán)記錄功能。目前看似還沒(méi)有過(guò)具體使用情況。

SocketPlayer感染路徑

后門(mén) SocketPlayer 的感染路徑始于 downloader 的沙盒系統(tǒng)檢測(cè)，如果通過(guò)檢測(cè)，downloader 會(huì)下載一個(gè)可執(zhí)行文件并進(jìn)行解密，然后使用 Invoke 方法在內(nèi)存中運(yùn)行該解密程序。

被調(diào)用的程序會(huì)為宿主創(chuàng)建一個(gè)套接字連接（宿主為http://93.104.208.17:5156/socket.io），同時(shí)還要?jiǎng)?chuàng)建一個(gè)可實(shí)現(xiàn)持久化的注冊(cè)表鍵。接下來(lái)檢查是否存在 Process Handler/ folder，如果沒(méi)有，就需要?jiǎng)?chuàng)建一個(gè)。之后，還需創(chuàng)建一個(gè)值為“Handler”的自動(dòng)啟動(dòng)鍵。

此外，SocketPlayer 還會(huì)下載另一個(gè)可下載 SocketPlayer 的可執(zhí)行文件，解密并在內(nèi)存中運(yùn)行。

兩個(gè)變種

G Data 的安全研究員在研究過(guò)程中發(fā)現(xiàn)了 SocketPlayer 后門(mén)的兩個(gè)變種：

第一個(gè)變種是一個(gè)大約100kb的文件，用以充當(dāng)可從網(wǎng)站上執(zhí)行任意代碼的 downloader；

第二個(gè)變種則具備更復(fù)雜的功能，包括檢測(cè)和規(guī)避沙箱機(jī)制。

據(jù) G Data 的技術(shù)報(bào)告稱，SocketPlayer 的第一個(gè)變種的第一個(gè)樣本已于3月28日首次提交給 VirusTotal（免費(fèi)的可疑文件分析服務(wù)網(wǎng)站），并在3月31日提交了該變種的第二個(gè)樣本。此外，SocketPlayer 的第二個(gè)變種也存在兩個(gè)版本。

安全研究人員注意到，SocketPlayer 的兩個(gè)變種之間經(jīng)歷了一系列的變化，包括：

命令和控制（C&C）端口

文件位置

初始流程所發(fā)送的信息

在服務(wù)器中新添加了命令

在惡意軟件中新添加功能

upldex 的存儲(chǔ)位置等

惡意軟件通過(guò)某印度網(wǎng)站分發(fā)

報(bào)告顯示，已知的惡意軟件樣本通過(guò)一個(gè)印度網(wǎng)站進(jìn)行分發(fā)，但尚不清楚后門(mén)如何傳播。但無(wú)論該網(wǎng)站是用于感染目的還是只是用于鏡像，顯然該惡意軟件在很長(zhǎng)一段時(shí)間內(nèi)都未被注意到。