一款使用邮件发送受害者信息的蠕虫病毒分析
字数 1294 2025-08-23 18:31:34

Brambul蠕虫病毒分析与防御指南

概述

Brambul是一种由HIDDEN COBRA组织开发的蠕虫病毒,具有信息收集和恶意传播双重功能。该病毒会收集系统信息并通过邮件发送,同时利用SMB协议进行网络传播。美国国土安全部和FBI曾联合发布过该病毒的技术分析报告。

样本基本信息

  • 文件名称: d1847c2d0d25efc17fac81bb79bb46a895615a3d9aaa9c97d80e91dc5d4758d3
  • 文件大小: 57,344字节
  • 哈希值:
    • MD5: 86B4E50393E52F0F649DE6756B6F5F36
    • SHA1: 19E0FAD9CE41A118C0238D866E3DE5C227A724EC
    • CRC32: 45839045

技术分析

1. 动态API获取

病毒采用动态获取API的技术来规避静态分析:

call GetProcAddress  ; 动态获取关键API函数

这种技术使得病毒可以在运行时才确定要调用的API,增加了分析的难度。

2. DNS查询行为

病毒运行后首先查询"gmail.com"的DNS记录:

; DNS查询gmail.com的代码片段
mov eax, "gmail"
mov ecx, ".com"

此行为可能是为后续邮件发送功能做准备,确保网络连接正常。

3. 用户权限判断

病毒会检查当前用户名,根据结果执行不同操作:

if (username == "SYSTEM") {
    // 创建自启动、收集系统信息
} else {
    // 开启SMB爆破
}

这种条件判断使病毒在不同权限环境下采取不同策略。

4. 持久化机制

通过注册表实现自启动:

注册表路径: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
键值: 病毒程序路径

5. 信息收集功能

病毒收集的系统信息包括:

  • 操作系统版本
  • IP地址
  • 网络配置
  • 其他系统信息

收集的数据将作为邮件内容发送给攻击者。

6. SMB爆破功能

IP生成

病毒随机生成IP地址用于爆破:

ip = rand() % 256 + "." + rand() % 256 + "." + rand() % 256 + "." + rand() % 256;

内置密码字典

病毒包含以下常见密码组合:

Administrator/空密码
admin/admin
guest/guest
root/root
user/user

攻击目标

针对SMB协议(445端口)进行未授权访问尝试。

7. 邮件发送功能

病毒通过HELO方式发送邮件(不带身份验证的SMTP):

  • 发件人: johnS203@yahoo.com
  • 收件人: whiat1001@gmail.com

HELO方式通常用于发送垃圾邮件,不需要身份验证即可发送。

防御措施

1. 预防措施

  1. 禁用SMBv1协议

    PowerShell: Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

  2. 强化密码策略

    • 禁用空密码
    • 强制复杂密码
    • 定期更换密码

  3. 限制出站SMTP连接

    • 防火墙规则限制25端口出站
    • 仅允许授权邮件服务器发送邮件

  4. 注册表保护

    • 监控自启动注册表项变更
    • 设置权限限制

2. 检测方法

  1. 网络流量监测

    • 异常的DNS查询(gmail.com)
    • 异常的SMTP连接(HELO方式)
    • 频繁的445端口连接尝试

  2. 系统行为监测

    • 异常的注册表修改
    • 系统信息收集行为
    • 大量随机IP连接尝试

  3. 文件特征检测

    • 使用提供的哈希值进行比对
    • 57KB左右的可疑文件

3. 应急响应

  1. 隔离感染主机
  2. 检查自启动项
    reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  3. 检查网络连接
    netstat -ano | findstr ":445"
  4. 检查进程
    tasklist /v
  5. 收集日志
    • 安全事件日志
    • 防火墙日志
    • DNS查询日志

总结

Brambul蠕虫病毒结合了信息窃取和网络传播能力,主要特点包括:

  1. 通过邮件外泄数据
  2. 利用弱密码进行SMB传播
  3. 采用多种规避技术
  4. 具有条件判断的多种行为模式

防御此类病毒需要综合采用网络防护、系统加固和行为监控等多种手段,特别要注意SMB服务和邮件服务的异常行为。

Brambul蠕虫病毒分析与防御指南 概述 Brambul是一种由HIDDEN COBRA组织开发的蠕虫病毒,具有信息收集和恶意传播双重功能。该病毒会收集系统信息并通过邮件发送,同时利用SMB协议进行网络传播。美国国土安全部和FBI曾联合发布过该病毒的技术分析报告。 样本基本信息 文件名称 : d1847c2d0d25efc17fac81bb79bb46a895615a3d9aaa9c97d80e91dc5d4758d3 文件大小 : 57,344字节 哈希值 : MD5: 86B4E50393E52F0F649DE6756B6F5F36 SHA1: 19E0FAD9CE41A118C0238D866E3DE5C227A724EC CRC32: 45839045 技术分析 1. 动态API获取 病毒采用动态获取API的技术来规避静态分析: 这种技术使得病毒可以在运行时才确定要调用的API,增加了分析的难度。 2. DNS查询行为 病毒运行后首先查询"gmail.com"的DNS记录: 此行为可能是为后续邮件发送功能做准备,确保网络连接正常。 3. 用户权限判断 病毒会检查当前用户名,根据结果执行不同操作: 这种条件判断使病毒在不同权限环境下采取不同策略。 4. 持久化机制 通过注册表实现自启动: 5. 信息收集功能 病毒收集的系统信息包括: 操作系统版本 IP地址 网络配置 其他系统信息 收集的数据将作为邮件内容发送给攻击者。 6. SMB爆破功能 IP生成 病毒随机生成IP地址用于爆破: 内置密码字典 病毒包含以下常见密码组合: 攻击目标 针对SMB协议(445端口)进行未授权访问尝试。 7. 邮件发送功能 病毒通过HELO方式发送邮件(不带身份验证的SMTP): 发件人 : johnS203@yahoo.com 收件人 : whiat1001@gmail.com HELO方式通常用于发送垃圾邮件,不需要身份验证即可发送。 防御措施 1. 预防措施 禁用SMBv1协议 : 强化密码策略 : 禁用空密码 强制复杂密码 定期更换密码 限制出站SMTP连接 : 防火墙规则限制25端口出站 仅允许授权邮件服务器发送邮件 注册表保护 : 监控自启动注册表项变更 设置权限限制 2. 检测方法 网络流量监测 : 异常的DNS查询(gmail.com) 异常的SMTP连接(HELO方式) 频繁的445端口连接尝试 系统行为监测 : 异常的注册表修改 系统信息收集行为 大量随机IP连接尝试 文件特征检测 : 使用提供的哈希值进行比对 57KB左右的可疑文件 3. 应急响应 隔离感染主机 检查自启动项 : 检查网络连接 : 检查进程 : 收集日志 : 安全事件日志 防火墙日志 DNS查询日志 总结 Brambul蠕虫病毒结合了信息窃取和网络传播能力,主要特点包括: 通过邮件外泄数据 利用弱密码进行SMB传播 采用多种规避技术 具有条件判断的多种行为模式 防御此类病毒需要综合采用网络防护、系统加固和行为监控等多种手段,特别要注意SMB服务和邮件服务的异常行为。