一款基于Python的新型远程访问木马已出现,它针对Windows和Linux系统,具备复杂的监控和数据窃取能力。
该恶意软件通过未加密的HTTP通道建立命令与控制通信,使攻击者能够远程执行命令、窃取文件并截取屏幕截图。
执行后,它会立即开始收集受害者系统的指纹信息,包括操作系统类型、主机名和当前用户名等详细信息。
这些信息随后被发送到攻击者的服务器,使其能够跨会话跟踪特定的受害者。
K7安全实验室的研究人员在VirusTotal的常规调查中发现了这款恶意软件,他们找到了一个完全用Python编写的ELF可执行文件。
该木马使用Python 2.7版本的PyInstaller 2.1进行打包,将恶意代码隐藏在看似合法的可执行文件中。
通过专用工具提取后,分析人员在一个名为agent-svc.pyc的文件中发现了主要入口点,该文件包含完整的远程访问功能,这些功能被组织在一个名为“Agent”的类下。
该恶意软件在不同操作系统上采用不同的持久化方法。在Linux系统上,它会在~/.config/autostart/dpkgn.desktop创建一个具有欺骗性的自启动项,并使用模仿合法Debian软件包工具的名称来避免检测。
该文件在用户登录时自动执行,无需管理员权限即可维持恶意软件的存在。
在Windows系统上,它会在当前用户的Run注册表项下添加一个名为“lee”的条目,确保在系统启动时自动执行,同时保持在用户级权限范围内。
命令与控制基础设施木马通过向特定端点发送基本的HTTP POST请求与其命令服务器通信,以未加密的纯JSON格式传输系统数据。
这种设计使得其网络流量极易受到监控和检测。
该恶意软件使用一个半持久性标识符,该标识符通过结合受害者的用户名和MAC地址生成,即使某些系统细节发生变化,攻击者也能跟踪具体的感染实例。
通信频率会根据活动状态进行调整:在空闲时段,通信间隔较长,以降低在网络中的可见性;而在活跃会话期间,每半秒就会轮询一次,以保持对传入命令的快速响应。
该恶意软件支持广泛的文件操作功能,包括通过多部分表单数据编码实现无限制的上传和下载。
它能够枚举整个目录结构、更改工作目录,并使用DEFLATE压缩算法创建ZIP压缩包以进行批量数据窃取。
屏幕截图功能通过PIL的ImageGrab模块捕获整个屏幕,将图像保存为临时JPEG文件,并自动上传到攻击者的服务器。
所有操作都在独立的线程中运行,以防止阻塞主通信循环,确保在执行现有任务的同时,能够持续接收新命令。
