Bisonal恶意软件变种分析
字数 1617 2025-08-20 18:17:42

Bisonal恶意软件变种分析教学文档

1. 恶意软件概述

Bisonal是一种自2014年开始活跃的恶意软件,主要针对俄罗斯、韩国和日本的政府、军事和国防相关企业组织。最新变种在加密方法、网络通信和驻留机制方面进行了重写。

2. 攻击活动特点

2.1 攻击目标

  • 俄罗斯:通信安全服务和产品公司,特别是提供加密和密码服务的企业
  • 韩国:政府、军事和国防相关企业
  • 日本:政府、军事和国防相关企业

2.2 攻击手法

  • 使用鱼叉式钓鱼邮件作为初始攻击载体
  • 恶意软件伪装成PDF文件(实际为Windows可执行文件)
  • 使用诱饵文件(与邮件内容相关的文档)
  • 使用动态DNS作为C2服务器
  • 在通信中包含目标和攻击活动代码(代号)

3. 技术分析

3.1 Dropper分析

针对俄罗斯的变种:

  • 在可执行文件主体后隐藏加密的Bisonal DLL和诱饵文件
  • 使用RC4算法解密数据,密钥为"34123412"
  • 创建持久化注册表项: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"vert" = "rundll32.exe c:\windows\temp\pvcu.dll , Qszdez"

针对韩国的变种:

  • 安装Bisonal EXE和诱饵PDF文件(未加密)
  • 文件偏移量附加在dropper文件结尾
  • 创建两个随机4位数字名的VBS脚本:
    • 一个用于打开诱饵PDF
    • 另一个用于删除dropper和VBS脚本
  • 创建持久化注册表项: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mismyou" = %Temp%[random].tmp

3.2 主模块分析

加密通信:

  • 使用RC4算法,密钥为"78563412"(所有变种使用相同密钥)
  • 初始连接发送硬编码DWORD值:0x10000和0x3E7
  • 发送固定8字节数据:81b2a8977ea31b91

C2通信:

  • 使用HTTP POST方法,TCP 443端口
  • 不完整的User Agent字符串(指纹特征): 
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322
  • 俄罗斯变种C2域名: 
    kted56erhg.dynssl[.]com
euiro8966.organiccrap[.]com
    解析到116.193.155[.]38
  • 韩国变种C2域名: 
    hxxp://games.my-homeip[.]com:443/ks8d[ip address]akspbu.txt

会话流程:

  1. 恶意软件发送session id和后门命令
  2. C2返回session id和后门命令
  3. 恶意软件处理命令并返回结果
  4. C2响应相同session id
  5. 5秒后使用相同session id重新通信

3.3 后门命令

命令号 功能描述
0x000000C8 获取系统信息
0x000000C9 执行shell命令
0x000000CA 上传文件
0x000000CB 下载文件
0x000000CC 更新配置
0x000000CD 卸载自身

3.4 特殊功能

西里尔字符处理:

  • 当执行shell access命令时,检查系统代码页
  • 如果是西里尔(Cyrillic)语言且命令不是ipconfig:
    • 将命令结果文本从Cyrillic转为UTF-16编码
  • 其他Windows ANSI代码页也转为UTF-16编码

4. 检测与防御

4.1 检测指标

文件特征:

  • 俄罗斯变种哈希:见原文表1
  • 韩国变种哈希:见原文表3
  • 字符串特征:"bisonal" maker字符串

网络特征:

  • 不完整的User Agent字符串
  • HTTP POST请求中包含静态字符串"ks8d"和"akspbu.txt"
  • 初始信标数据81b2a8977ea31b91
  • 特定C2域名和IP

行为特征:

  • 创建特定注册表项实现持久化
  • 在%Temp%目录创建随机名VBS脚本
  • 西里尔字符编码转换行为

4.2 防御建议

  1. 用户教育:警惕伪装成PDF的可执行文件
  2. 邮件过滤:检测鱼叉式钓鱼邮件
  3. 网络监控:检测异常HTTP POST请求和不完整User Agent
  4. 终端防护:监控注册表修改和临时目录可疑文件创建
  5. 更新规则:添加已知C2域名和IP到黑名单

5. 总结

Bisonal恶意软件虽然已活跃多年,但其攻击手法和目标保持高度一致性。最新变种通过改进加密方式和通信方法增强了隐蔽性。防御者应关注其独特的网络和行为特征,特别是C2通信模式和西里尔字符处理逻辑,这些可作为有效的检测指标。

Bisonal恶意软件变种分析教学文档 1. 恶意软件概述 Bisonal是一种自2014年开始活跃的恶意软件,主要针对俄罗斯、韩国和日本的政府、军事和国防相关企业组织。最新变种在加密方法、网络通信和驻留机制方面进行了重写。 2. 攻击活动特点 2.1 攻击目标 俄罗斯:通信安全服务和产品公司,特别是提供加密和密码服务的企业 韩国:政府、军事和国防相关企业 日本:政府、军事和国防相关企业 2.2 攻击手法 使用鱼叉式钓鱼邮件作为初始攻击载体 恶意软件伪装成PDF文件(实际为Windows可执行文件) 使用诱饵文件(与邮件内容相关的文档) 使用动态DNS作为C2服务器 在通信中包含目标和攻击活动代码(代号) 3. 技术分析 3.1 Dropper分析 针对俄罗斯的变种: 在可执行文件主体后隐藏加密的Bisonal DLL和诱饵文件 使用RC4算法解密数据,密钥为"34123412" 创建持久化注册表项: 针对韩国的变种: 安装Bisonal EXE和诱饵PDF文件(未加密) 文件偏移量附加在dropper文件结尾 创建两个随机4位数字名的VBS脚本: 一个用于打开诱饵PDF 另一个用于删除dropper和VBS脚本 创建持久化注册表项: 3.2 主模块分析 加密通信: 使用RC4算法,密钥为"78563412"(所有变种使用相同密钥) 初始连接发送硬编码DWORD值:0x10000和0x3E7 发送固定8字节数据:81b2a8977ea31b91 C2通信: 使用HTTP POST方法,TCP 443端口 不完整的User Agent字符串(指纹特征): 俄罗斯变种C2域名: 解析到116.193.155[ . ]38 韩国变种C2域名: 会话流程: 恶意软件发送session id和后门命令 C2返回session id和后门命令 恶意软件处理命令并返回结果 C2响应相同session id 5秒后使用相同session id重新通信 3.3 后门命令 | 命令号 | 功能描述 | |--------|----------| | 0x000000C8 | 获取系统信息 | | 0x000000C9 | 执行shell命令 | | 0x000000CA | 上传文件 | | 0x000000CB | 下载文件 | | 0x000000CC | 更新配置 | | 0x000000CD | 卸载自身 | 3.4 特殊功能 西里尔字符处理: 当执行shell access命令时,检查系统代码页 如果是西里尔(Cyrillic)语言且命令不是ipconfig: 将命令结果文本从Cyrillic转为UTF-16编码 其他Windows ANSI代码页也转为UTF-16编码 4. 检测与防御 4.1 检测指标 文件特征: 俄罗斯变种哈希:见原文表1 韩国变种哈希:见原文表3 字符串特征:"bisonal" maker字符串 网络特征: 不完整的User Agent字符串 HTTP POST请求中包含静态字符串"ks8d"和"akspbu.txt" 初始信标数据81b2a8977ea31b91 特定C2域名和IP 行为特征: 创建特定注册表项实现持久化 在%Temp%目录创建随机名VBS脚本 西里尔字符编码转换行为 4.2 防御建议 用户教育:警惕伪装成PDF的可执行文件 邮件过滤:检测鱼叉式钓鱼邮件 网络监控:检测异常HTTP POST请求和不完整User Agent 终端防护:监控注册表修改和临时目录可疑文件创建 更新规则:添加已知C2域名和IP到黑名单 5. 总结 Bisonal恶意软件虽然已活跃多年,但其攻击手法和目标保持高度一致性。最新变种通过改进加密方式和通信方法增强了隐蔽性。防御者应关注其独特的网络和行为特征,特别是C2通信模式和西里尔字符处理逻辑,这些可作为有效的检测指标。