Bisonal恶意软件变种分析教学文档<\/h1>

1. 恶意软件概述<\/h2>
Bisonal是一种自2014年开始活跃的恶意软件，主要针对俄罗斯、韩国和日本的政府、军事和国防相关企业组织。最新变种在加密方法、网络通信和驻留机制方面进行了重写。<\/p>

2. 攻击活动特点<\/h2>

2.1 攻击目标<\/h3>

俄罗斯：通信安全服务和产品公司，特别是提供加密和密码服务的企业<\/li>
韩国：政府、军事和国防相关企业<\/li>

日本：政府、军事和国防相关企业<\/li> <\/ul>

2.2 攻击手法<\/h3>

使用鱼叉式钓鱼邮件作为初始攻击载体<\/li>
恶意软件伪装成PDF文件（实际为Windows可执行文件）<\/li>
使用诱饵文件（与邮件内容相关的文档）<\/li>
使用动态DNS作为C2服务器<\/li>

在通信中包含目标和攻击活动代码（代号）<\/li> <\/ul>

3. 技术分析<\/h2>

3.1 Dropper分析<\/h3>

针对俄罗斯的变种：<\/h4>

在可执行文件主体后隐藏加密的Bisonal DLL和诱饵文件<\/li>
使用RC4算法解密数据，密钥为"34123412"<\/li>

创建持久化注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"vert" = "rundll32.exe c:\windows\temp\pvcu.dll , Qszdez"
<\/code><\/pre>
<\/li>
<\/ul>
针对韩国的变种：<\/h4>

安装Bisonal EXE和诱饵PDF文件（未加密）<\/li>
文件偏移量附加在dropper文件结尾<\/li>
创建两个随机4位数字名的VBS脚本：

一个用于打开诱饵PDF<\/li>
另一个用于删除dropper和VBS脚本<\/li>
<\/ul>
<\/li>
创建持久化注册表项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mismyou" = %Temp%[random].tmp
<\/code><\/pre>
<\/li>
<\/ul>
3.2 主模块分析<\/h3>
加密通信：<\/h4>

使用RC4算法，密钥为"78563412"（所有变种使用相同密钥）<\/li>
初始连接发送硬编码DWORD值：0x10000和0x3E7<\/li>
发送固定8字节数据：81b2a8977ea31b91<\/li>
<\/ul>
C2通信：<\/h4>

使用HTTP POST方法，TCP 443端口<\/li>
不完整的User Agent字符串（指纹特征）：
Mozilla\/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322
<\/code><\/pre>
<\/li>
俄罗斯变种C2域名：
kted56erhg.dynssl[.]com
euiro8966.organiccrap[.]com
<\/code><\/pre>
解析到116.193.155[.]38<\/li>
韩国变种C2域名：
hxxp:\/\/games.my-homeip[.]com:443\/ks8d[ip address]akspbu.txt
<\/code><\/pre>
<\/li>
<\/ul>
会话流程：<\/h4>

恶意软件发送session id和后门命令<\/li>
C2返回session id和后门命令<\/li>
恶意软件处理命令并返回结果<\/li>
C2响应相同session id<\/li>
5秒后使用相同session id重新通信<\/li>
<\/ol>
3.3 后门命令<\/h3>



命令号<\/th>
功能描述<\/th>
<\/tr>
<\/thead>


0x000000C8<\/td>
获取系统信息<\/td>
<\/tr>

0x000000C9<\/td>
执行shell命令<\/td>
<\/tr>

0x000000CA<\/td>
上传文件<\/td>
<\/tr>

0x000000CB<\/td>
下载文件<\/td>
<\/tr>

0x000000CC<\/td>
更新配置<\/td>
<\/tr>

0x000000CD<\/td>
卸载自身<\/td>
<\/tr>
<\/tbody>
<\/table>
3.4 特殊功能<\/h3>
西里尔字符处理：<\/h4>

当执行shell access命令时，检查系统代码页<\/li>
如果是西里尔(Cyrillic)语言且命令不是ipconfig：

将命令结果文本从Cyrillic转为UTF-16编码<\/li>
<\/ul>
<\/li>
其他Windows ANSI代码页也转为UTF-16编码<\/li>
<\/ul>
4. 检测与防御<\/h2>
4.1 检测指标<\/h3>
文件特征：<\/h4>

俄罗斯变种哈希：见原文表1<\/li>
韩国变种哈希：见原文表3<\/li>
字符串特征："bisonal" maker字符串<\/li>
<\/ul>
网络特征：<\/h4>

不完整的User Agent字符串<\/li>
HTTP POST请求中包含静态字符串"ks8d"和"akspbu.txt"<\/li>
初始信标数据81b2a8977ea31b91<\/li>
特定C2域名和IP<\/li>
<\/ul>
行为特征：<\/h4>

创建特定注册表项实现持久化<\/li>
在%Temp%目录创建随机名VBS脚本<\/li>
西里尔字符编码转换行为<\/li>
<\/ul>
4.2 防御建议<\/h3>

用户教育：警惕伪装成PDF的可执行文件<\/li>
邮件过滤：检测鱼叉式钓鱼邮件<\/li>
网络监控：检测异常HTTP POST请求和不完整User Agent<\/li>
终端防护：监控注册表修改和临时目录可疑文件创建<\/li>
更新规则：添加已知C2域名和IP到黑名单<\/li>
<\/ol>
5. 总结<\/h2>
Bisonal恶意软件虽然已活跃多年，但其攻击手法和目标保持高度一致性。最新变种通过改进加密方式和通信方法增强了隐蔽性。防御者应关注其独特的网络和行为特征，特别是C2通信模式和西里尔字符处理逻辑，这些可作为有效的检测指标。<\/p>

命令号<\/th>	功能描述<\/th> <\/tr> <\/thead>
0x000000C8<\/td>	获取系统信息<\/td> <\/tr>
0x000000C9<\/td>	执行shell命令<\/td> <\/tr>
0x000000CA<\/td>	上传文件<\/td> <\/tr>
0x000000CB<\/td>	下载文件<\/td> <\/tr>
0x000000CC<\/td>	更新配置<\/td> <\/tr>
0x000000CD<\/td>	卸载自身<\/td> <\/tr> <\/tbody> <\/table> 3.4 特殊功能<\/h3> 西里尔字符处理：<\/h4> 当执行shell access命令时，检查系统代码页<\/li> 如果是西里尔(Cyrillic)语言且命令不是ipconfig：将命令结果文本从Cyrillic转为UTF-16编码<\/li> <\/ul> <\/li> 其他Windows ANSI代码页也转为UTF-16编码<\/li> <\/ul> 4. 检测与防御<\/h2> 4.1 检测指标<\/h3> 文件特征：<\/h4> 俄罗斯变种哈希：见原文表1<\/li> 韩国变种哈希：见原文表3<\/li> 字符串特征："bisonal" maker字符串<\/li> <\/ul> 网络特征：<\/h4> 不完整的User Agent字符串<\/li> HTTP POST请求中包含静态字符串"ks8d"和"akspbu.txt"<\/li> 初始信标数据81b2a8977ea31b91<\/li> 特定C2域名和IP<\/li> <\/ul> 行为特征：<\/h4> 创建特定注册表项实现持久化<\/li> 在%Temp%目录创建随机名VBS脚本<\/li> 西里尔字符编码转换行为<\/li> <\/ul> 4.2 防御建议<\/h3> 用户教育：警惕伪装成PDF的可执行文件<\/li> 邮件过滤：检测鱼叉式钓鱼邮件<\/li> 网络监控：检测异常HTTP POST请求和不完整User Agent<\/li> 终端防护：监控注册表修改和临时目录可疑文件创建<\/li> 更新规则：添加已知C2域名和IP到黑名单<\/li> <\/ol> 5. 总结<\/h2> Bisonal恶意软件虽然已活跃多年，但其攻击手法和目标保持高度一致性。最新变种通过改进加密方式和通信方法增强了隐蔽性。防御者应关注其独特的网络和行为特征，特别是C2通信模式和西里尔字符处理逻辑，这些可作为有效的检测指标。<\/p>

Bisonal恶意软件变种分析教学文档<\/h1>

1. 恶意软件概述<\/h2> Bisonal是一种自2014年开始活跃的恶意软件，主要针对俄罗斯、韩国和日本的政府、军事和国防相关企业组织。最新变种在加密方法、网络通信和驻留机制方面进行了重写。<\/p>

2. 攻击活动特点<\/h2>

3. 技术分析<\/h2>

3.1 Dropper分析<\/h3>

3.2 主模块分析<\/h3>

3.4 特殊功能<\/h3>

4. 检测与防御<\/h2>

4.1 检测指标<\/h3>

1. 恶意软件概述<\/h2>
Bisonal是一种自2014年开始活跃的恶意软件，主要针对俄罗斯、韩国和日本的政府、军事和国防相关企业组织。最新变种在加密方法、网络通信和驻留机制方面进行了重写。<\/p>