the heart of lucifer

Bifrost1.2.1d远控木马样本分析报告

样本来源 http://www.aljyyosh.com                 样本类型 BDS.Bifrose.aec
分析时间 2016-9-20 运行环境                          控制端:Windows7 x64  木马端:Windows XP

分析目的    找出木马与控制端通信的特征码

分析过程    (1) 配置木马端

111   图1-配置木马

1. 木马端默认配置使用81端口,也可自行更改为其他端口。
2. 可同时设置多个不同的服务端地址,也可以使用Scoks4代理的方式上线。
3. 其他设置,配置过程中还可配置木马安装目录、注册表键值、离线键盘记录等功能。
4. 点击Build完成创建客户端。
(2) 安装木马端
1. 在主机1(IP:10.0.3.160)上打开控制端,安装生成的木马样本(server.exe)到主机2(IP:10.0.3.153).
2. 在主机1上开启Wireshark抓取主机1与主机2之间的通信数据.
3. 在主机2上双击安装木马样本。

 (3) 开始分析
1. 进程监视,样本安装后通过进程管理器可以看到,系统会生成进程名为server.exe的新进程,同时会进行镜像加载、查询本机注册表等一系列操作,上述操作完毕后,木马端会自动关闭进程。如下图:

222 2221图2-进程监视

2. 木马端安装后会在配置木马端时选择的安装目录(默认目录为C:\Program Files)下创建Bifrost文件夹并生成一个新的server.exe文件。如图:

333

图3-默认安装目录

3. 通过对主机1和主机2之间通信的数据包分析可发现,木马端在主机2上安装后,打开一个随机端口主动连接控制端81端口。如下图:

444 图4-连接端口

4. 在控制端打开文件管理功能,尝试打开文件夹、删除文件等其他操作后查看抓取的数据包。如图:

555图5-文件管理功能

经过多次抓包对比分析后,确认样本该控制端的通信特征为:00 00 00 2a 3d ba 1a.如下图:

666 6661

图6-通信特征

5. 关闭控制端断开与木马端的连接,继续抓包,统计后发现若控制端未打开,木马上线后连接请求频率约12秒一次。如下图:

777

图7-木马端连接请求

6. 配置木马端时改变连接密码再重复以上操作,抓包分析发现,改变连接密码后通信特征码不变。若控制端连接密码错误,则木马端随机使用一端口号连接控制端81端口,大约每隔11秒,端口号+2并再次尝试连接控制端。如下图:

888

图8-连接密码错误时的连接请求

数据记录和计算   无

结 论

1. 样本数据特征: 0000002a3dba1a
2. 默认配置下被控端主动连接控制端81端口(端口可更改)
3. 木马上线连接请求频率约12秒一次。
4. 木马端安装后会在安装目录(默认目录为C:\Program Files)下创建Bifrost文件夹并生成一个新的server.exe文件

发表评论

电子邮件地址不会被公开。 必填项已用*标注