+32 50895535
info@brussec.com

Nieuwe Windows Backdoor Malware CowerSnail ontdekt

doorPablo Brusseel|juli 26, 2017|0reacties
Backdoor, Malware, Nieuws
Nieuwe Windows Backdoor Malware CowerSnail ontdekt

Een nieuwe soort Backdoor Malware is op de radar van security researchers verschenen. Het gaat om het trojaanse paard genaamd CowerSnail dat gemaakt is door dezelfde groep die verantwoordelijk was voor het misbruiken van de SambaCry kwetsbaarheid die het mogelijk maakte om verschillende Linux servers te infecteren met als doel om cryptocurrency te gaan mijnen.

Volgens een beveiligingsonderzoeker bij Kaspersky genaamd Sergey Yunakovsky, kan de malware enkel maar kleine basistaken uitvoeren. Momenteel kan het Batch commando’s uitvoeren die het ontvangt van zijn Command and Control (C&C) Server. Dit betekent dat de malware op de geïnfecteerde computer enkel als achterpoortje of ‘Backdoor’ gebruikt kan worden.

CowerSnail gebruikt een zeer ongebruikelijke programmeertaal. Het maakt gebruik van Qt, een codeer framework dat gebruikt word om applicaties te ontwikkelen voor verschillende besturingssystemen.

Nu is CowerSnail’s C&C server (cl.ezreal.space:20480) dezelfde server als die die gebruikt werd om de EternalRed crypto miner af te leveren op Linux servers met out-of-date Samba installaties die kwetsbaar waren voor de SambaCry bug.

“SambaCry was ontworpen voor *nix-gebaseerde systemen. CowerSnail werd ondertussen geschreven in QT, wat waarschijnlijk betekent dat de auteur zich niet wou verdiepen in de details van WinAPI en de *nix code wou overzetten zoals die was” – Sergey Yunakovsky

Het feit dat beide virussen gebruik maken van dezelfde C&C server wijst er ook op dat ze beiden waarschijnlijk door hetzelfde team gemaakt zijn. Dit betekent dus dat CowerSnail een nieuwe creatie is van de groep die achter EternalRed zit.

De meeste antivirus-software zullen de malware herkennen als Backdoor.Win32.CowerSnail, met de MD5 Hash:

5460AC43725997798BAB3EB6474D391F

Yunakovsky zei ook dat hij, door het afluisteren van de traffiek tussen de malware an zijn C&C server, aanwijzingen gevonden had dat de auteur misschien aan IRC functionaliteit werkt zodat hij de geïnfecteerde systemen kan besturen via het IRC-protocol en via daar zijn commando’s kan sturen.

Vaak wordt IRC gebruikt voor botnets, wat misschien een hint kan zijn over wat de hackersgroep van plan is met de malware.

Momenteel kan de malware de volgende dingen doen:

  • Zichzelf updaten
  • Zichzelf als een Windows Service installeren en de-installeren
  • Batch commando’s uitvoeren
  • Informatie verzamelen over het besmette systeem (OS, hostnaam, OS type, tijd, processor info, memory info, enz.)

About Post Author

Pablo Brusseel

Pablo is de oprichter en hoofdonderzoeker bij Brussec Security. Al jaren is hij geïntereseerd in computerbeveiliging en nu gebruikt hij zijn kennis om het internet een veiligere plaats te maken.

See author's posts

Westeindestraat 121 bus 04-01,
9990 Maldegem,
Belgium
Telefoon – +32 50 89 55 35
Email – info@brussec.com
BTW – BE 0763.805.021
IBAN – BE54 7310 5102 4597

Geef ons een seintje

Wij geven u graag de beste informatie. Dus als u enige vragen heeft over onze service, bel ons dan gerust op bovenstaand nummer.

Over Ons

Brussec Security Group is een bedrijf dat zich specialiseert in Penetratietesten. In mensentaal wil dit zeggen dat we ons voordoen als hackers om ze te voorkomen. Wij proberen in uw systeem binnen te raken voordat de “bad guys” het doen en we verhelpen de problemen in uw beveiliging.

Lees Meer

Newsletter (EN)

    Copyright © 2022 Brussec Security Group BV. All rights reserved.

    PGP Sleutel