图1: Kardon Loader广告

要点

· ASERT研究人员发现Kardon Loader在地下论坛的广告。

· Kardon Loader允许客户打开自己的botshop，授予购买者重建机器人并向其他人出售的权限。

· Kardon Loader处于开发初期阶段，公开测试阶段。

· 纳入了许多反分析检查以阻止分析。

一、概述

Kardon Loader是一款恶意软件下载程序，在地下论坛上作为付费公测产品进行广告宣传。这款恶意软件已于4月底开始由用户Yattaze发售。该恶意行为者将恶意软件作为独立版本销售，并为每次额外的重建收费；或者设立botshop，在这种情况下，任何客户都可以建立自己的运营网络并进一步销售新的客户群。

恶意软件作者和分销商利用downloaded恶意软件和botshop来构建恶意软件分发网络。恶意软件分发网络通常被网络犯罪分子用来创建僵尸网络来分发额外的payload，例如凭证盗取软件、勒索软件、银行木马等等。这些分发网络通常由第三方运营商运营，并在地下市场作为服务提供。

二、历史

2018年4月21日，恶意行为者Yattaze开始以50美元的价格宣传一款名为Kardon Loader的公开测试版downloaded。根据恶意软件家族的描述，此恶意软件是同一个恶意行为者在之前正在开发的ZeroCool僵尸网络的重命名。该恶意行为者自2017年4月起在论坛上拥有一个帐户，并收到该产品的多个保证金。Loader的广告拥有专业的外观及自己的标志（图1和图2）。

图2: Kardon Loader 价格

恶意行为者提供了一份声明，声明不应将此软件用于恶意目的（图3）。

图3: Kardon Loader 声明

此外，恶意行为者上传了一个显示管理面板功能的YouTube视频（图4）。

图4: Kardon Loader YouTube (https://youtu.be/8m1BOoHtcNo)

三、分布

论坛主题表明，恶意行为者最初利用名为“Pink Panther’s automated loads shop (Pink)”的知名botshop进行测试。恶意行为者的评论表明这个机器人目前还没有广泛分发。在恶意行为者发布的Loader测试网络屏幕截图中，只有124个感染（图5）。

图5: Kardon Loader 管理面板显示的感染机器

四、分析

恶意行为者声称Kardon Loader提供或即将提供以下功能：

· Bot功能

· 下载并执行任务

· 更新任务

· 卸载任务

· Usermode Rootkit

· RC4加密（尚未实施）

· 调试和分析保护

· TOR支持

· 域名生成算法（DGA）

ASERT发现在审查过的样本中没有这么多功能。所有分析的样本都使用硬编码的命令和控制（C2）URL而不是DGA。在二进制文件中也没有TOR或用户模式rootkit功能。

(一) 反分析技术

Kardon Loader使用了一些反分析技术，例如试图获取以下DLL的模块句柄：

· avghookx.dll

· avghooka.dll

· snxhk.dll

· sbiedll.dll

· dbghelp.dll

· api_log.dll

· dir_watch.dll

· pstorec.dll

· vmcheck.dll

· wpespy.dll

如果任意一个上述DLL句柄被返回，它将退出该过程。这些DLL与防病毒，分析工具和虚拟化相关联。Kardon Loader还会枚举CPUID Vendor ID值并将其与以下字符串进行比较：

· KVMKVMKVM

· MicrosoftHV

· VMwareVMware

· XenVMMXenVMM

· prl Hyper-V

· VBoxVBoxVBox

这些是与虚拟化机器相关的已知CPUID Vendor ID值。如果检测到这些值中的一个，恶意软件也将退出。

(二) C&C

Kardon Loader使用基于HTTP的C2基础设施和base64编码的URL参数。执行后，Kardon Loader将发送HTTP POST到C2，其中包含以下字段：

· ID =识别码

· OS=操作系统

· PV=用户权限

· IP=初始有效荷载（完整路径）

· CN=计算机名称

· UN=用户名

· CA=处理器体系结构

（图6）中显示了从Kardon Loader样本执行后发送的POST示例：

图6: Kardon Loader POST 请求

一旦发出请求，C2服务器将提供不同的反馈：下载和执行其它的有效载荷，访问网站，升级当前有效载荷或卸载自身。等待命令的C2服务器响应格式是：

· notask

其他命令包括下载和执行功能使用以下格式：

· newtask`##`＃<URL>

· Hashmarks表示两个字符的任务ID和一个字符的任务值

接下来，受感染的主机会以与以下附加字段相同的格式向C2发回确认消息：

· TD=任务标识符（由命令和控制提供）

· OP=任务输出（如果成功则为1，否则为2）

各种样本的分析揭示了由C2引导的加载程序的另一个参数用于卸载：

· UN=卸载

恶意行为者在他们的广告主题上发布的帖子表明，将来这个家族的C2通信将被改为RC4加密。另外，如果actor真正实现了DGA，可能会将其用作C2的回联机制。

(三) 管理面板

图7: Kardon Loader 管理面板

Kardon Loader面板集成了一个设计简单的bot分发和安装统计信息的仪表板。该面板的一个显著特点是bot商店的功能，允许bot管理员为客户生成访问密钥，使他们能够根据预定义的参数执行任务（图8）。

图8: Kardon Loader 商店

用户可以指定一个URL，然后提供任务类型和执行次数，以便将命令分发给网络上的机器人。恶意行为者在YouTube教学视频中展示了这一点（图4）。

五、总结与建议

本文概述了称为Kardon Loader的downloader恶意软件。Kardon Loader是一个全功能的downloader，可以下载和安装其他恶意软件，例如，银行木马/凭证窃取软件等。downloader是恶意软件生态系统的重要组成部分，通常由专家开发并独立于作为恶意行动的木马出售。虽然只有在公开测试版阶段，该恶意软件才具有bot商店功能，允许购买者使用此平台开设自己的botshop。但这位恶意行为者在4月底开始为此Loader做广告，并表示未来将会在此基础上完成进一步的开发工作，包括加密的C2通信。

至少，机构应该利用本报告中包含的指标来阻止与Kardon Loader相关的恶意行为。研究人员还可以利用下面的Yara规则寻找其他的Kardon Loader副本来提取其他IOC以阻止恶意活动。

Yara Rule

· https://gist.github.com/arbor-asert/2ad9c7d715f41efc9d59ed8c425d10d3

Hashes

· fd0dfb173aff74429c6fed55608ee99a24e28f64ae600945e15bf5fce6406aee

· b1a1deaacec7c8ac43b3dad8888640ed77b2a4d44f661a9e52d557e7833c7a21

· 3c64d7dbef4b7e0dd81a5076172451334fe9669800c40c895567226f7cb7cdc7

C&C URLs

· Kardon[.]ddns[.]net

· Jhuynfrkijucdxiu[.]club

· Kreuzberg[.]ru

· Cryptdrop[.]xyz