นักวิจัยความปลอดภัยของ ESET พบเวอร์ชั่นใหม่ของ DanaBot Trojan กับโปรโตคอลใหม่ที่ซับซ้อนกว่าเดิมและการเปลี่ยนแปลงเล็กน้อย
DanaBot นับว่าเป็นโทรจันที่มีวิวัฒนาการรวดเร็ว ล่าสุดกับโปรโตคอลใหม่ที่ใช้ในช่วงต้นปี 2019 และการเข้ารหัส C&C Communication หลายชั้น นอกจากโปรโตคอลแล้วยังมีการปรับปรุงโครงสร้างสถาปัตยกรรมและ Campaign ID
วิวัฒนาการของ DanaBot
หลังจากปรากฏตัวครั้งแรกของ DanaBot เมื่อเดือนพฤษภาคม 2018 ในฐานะส่วนหนึ่งของแผนการสแปมในประเทศออสเตรเลีย ในเวลาต่อมา DanaBot ได้อยู่ในแผนการสแปมทั่วทุกมุมโลก ทั้ง โปแลนด์ อิตาลี เยอรมนี ออสเตรีย และยูเครน รวมถึงสหรัฐอเมริกา
จากการตรวจจับเมื่อวันที่ 25 มกราคม 2019 เราพบ DanaBot ที่ผิดปกติ การเชื่อมต่อของโปรโตคอลกับเซิร์ฟเวอร์ C&C นั้นแตกต่างจากเดิม
ในปี 2018 DanaBot ได้ขยายความสามารถทั้งด้านการแพร่กระจายและเพิ่มฟังก์ชั่น ต่อมาในช่วงต้นปี 2019 นักพัฒนาได้เพิ่มความสามารถในการหลีกเลี่ยงการตรวจจับหลายระดับ
ผลิตภัณฑ์ของ ESET สามารถตรวจจับและปิดกั้นการทำงานของ DanaBot รวมถึงปลั๊กอินตามรายชื่อด้านล่าง
Indicators of Compromise (IoCs)
C&C servers used by the new version of DanaBot
- 84.54.37[.]102
- 89.144.25[.]243
- 89.144.25[.]104
- 178.209.51[.]211
- 185.92.222[.]238
- 192.71.249[.]51
Webinject and redirect servers
- 47.74.249[.]106
- 95.179.227[.]160
- 185.158.249[.]144
Example hashes
ส่วนประกอบของ DanaBot มีปล่อยออกมาเรื่อยๆ นี่เป็นส่วนหนึ่งของ Hashes เท่านั้น
|
Component
|
SHA-1
|
ESET detection name
|
|
Dropper
|
98C70361EA611BA33EE3A79816A88B2500ED7844
|
Win32/TrojanDropper.Danabot.O
|
|
Loader (x86), campaign ID=3
|
0DF17562844B7A0A0170C9830921C3442D59C73C
|
Win32/Spy.Danabot.L
|
|
Loader (x64), campaign ID=3
|
B816E90E9B71C85539EA3BB897E4F234A0422F85
|
Win64/Spy.Danabot.G
|
|
Loader (x86), campaign ID=9
|
5F085B19657D2511A89F3172B7887CE29FC70792
|
Win32/Spy.Danabot.I
|
|
Loader (x64), campaign ID=9
|
4075375A08273E65C223116ECD2CEF903BA97B1E
|
Win64/Spy.Danabot.F
|
|
Main module (x86)
|
28139782562B0E4CAB7F7885ECA75DFCA5E1D570
|
Win32/Spy.Danabot.K
|
|
Main module (x64)
|
B1FF7285B49F36FE8D65E7B896FCCDB1618EAA4B
|
Win64/Spy.Danabot.C
|
Plugins
|
Plugin
|
SHA-1
|
ESET detection name
|
|
RDPWrap
|
890B5473B419057F89802E0B6DA011B315F3EF94
|
Win32/Spy.Danabot.H
|
|
Stealer (x86)
|
E50A03D12DDAC6EA626718286650B9BB858B2E69
|
Win32/Spy.Danabot.C
|
|
Stealer (x64)
|
9B0EC454401023DF6D3D4903735301BA669AADD1
|
Win64/Spy.Danabot.E
|
|
Sniffer
|
DBFD8553C66275694FC4B32F9DF16ADEA74145E6
|
Win32/Spy.Danabot.B
|
|
VNC
|
E0880DCFCB1724790DFEB7DFE01A5D54B33D80B6
|
Win32/Spy.Danabot.D
|
|
TOR
|
73A5B0BEE8C9FB4703A206608ED277A06AA1E384
|
Win32/Spy.Danabot.G
|
Author: ESET Research
Source: https://www.welivesecurity.com/2019/02/07/danabot-updated-new-cc-communication/
Translated by: Worapon H.
Like this:
ถูกใจ กำลังโหลด...
นักวิจัยความปลอดภัยของ ESET พบเวอร์ชั่นใหม่ของ DanaBot Trojan กับโปรโตคอลใหม่ที่ซับซ้อนกว่าเดิมและการเปลี่ยนแปลงเล็กน้อย
DanaBot นับว่าเป็นโทรจันที่มีวิวัฒนาการรวดเร็ว ล่าสุดกับโปรโตคอลใหม่ที่ใช้ในช่วงต้นปี 2019 และการเข้ารหัส C&C Communication หลายชั้น นอกจากโปรโตคอลแล้วยังมีการปรับปรุงโครงสร้างสถาปัตยกรรมและ Campaign ID
วิวัฒนาการของ DanaBot
หลังจากปรากฏตัวครั้งแรกของ DanaBot เมื่อเดือนพฤษภาคม 2018 ในฐานะส่วนหนึ่งของแผนการสแปมในประเทศออสเตรเลีย ในเวลาต่อมา DanaBot ได้อยู่ในแผนการสแปมทั่วทุกมุมโลก ทั้ง โปแลนด์ อิตาลี เยอรมนี ออสเตรีย และยูเครน รวมถึงสหรัฐอเมริกา
จากการตรวจจับเมื่อวันที่ 25 มกราคม 2019 เราพบ DanaBot ที่ผิดปกติ การเชื่อมต่อของโปรโตคอลกับเซิร์ฟเวอร์ C&C นั้นแตกต่างจากเดิม
ในปี 2018 DanaBot ได้ขยายความสามารถทั้งด้านการแพร่กระจายและเพิ่มฟังก์ชั่น ต่อมาในช่วงต้นปี 2019 นักพัฒนาได้เพิ่มความสามารถในการหลีกเลี่ยงการตรวจจับหลายระดับ
ผลิตภัณฑ์ของ ESET สามารถตรวจจับและปิดกั้นการทำงานของ DanaBot รวมถึงปลั๊กอินตามรายชื่อด้านล่าง
Indicators of Compromise (IoCs)
C&C servers used by the new version of DanaBot
Webinject and redirect servers
Example hashes
ส่วนประกอบของ DanaBot มีปล่อยออกมาเรื่อยๆ นี่เป็นส่วนหนึ่งของ Hashes เท่านั้น
Plugins
Author: ESET Research
Source: https://www.welivesecurity.com/2019/02/07/danabot-updated-new-cc-communication/
Translated by: Worapon H.
Share this:
Like this: