Python.BackDoor.Crane.1 - троян, участвующий при атаках на строительные компании


Python.BackDoor.Crane.1 - троян, написанный на языке Python.

 

На инфицированные компьютеры загружается трояном BackDoor.Crane.1 при проведении целевой атаки на крупнейшие российские предприятия, занимающиеся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Бэкдор упакован с использованием pyinstaller, код обфусцирован и дополнительно упакован.

После распаковки pyinstaller код вредоносного скрипта имеет следующий вид:

  • import pkg_resources;import sys as cDxaCtkRWKmOpQ;import time as ixffpzzULZK;import subprocess as MUnXVz;import requests as mNMzIOw;import ftplib as UYFMjbSekhlu;from base64 import b64decode as ThBmw;import uuid as EMeGYfWb;import io as PmbDbkOzZTc;import os as ILCHYx;from base64 import b64decode as sxfoHNF;from Crypto.Cipher import AES as HBmHA;import shutil as MlnyFfofyOh;from PIL import ImageGrab as ouJAno
    exec(ThBmw("ZXhlYyhIQm1IQ..."))


Для распаковки сценария последовательно вызываются b64decode и exec. Следующий слой кода дополнительно зашифрован с использованием алгоритма AES. Расшифрованный код обфусцирован.

Троян обменивается с управляющим сервером информацией с использованием протокола HTTP. Данные отправляются POST-запросом и имеют следующий вид:

  • compid=<id>&nat=nat

где compid – уникальный идентификатор трояна, полученный вызовом функции uuid.getnode().

Если в ответе от сервера присутствует строка "\xa9:\xa9", тогда троян извлекает из ответа команду и аргументы.

Вредоносная программа может выполнять следующие команды:

  • получать список файлов и каталогов по заданному пути;
  • выполнять произвольные команды cmd;
  • загружать на указанный сервер файлы с использованием протокола http;
  • загружать на указанный сервер файлы с использованием протокола ftp;
  • скачивать на инфицированный компьютер произвольные файлы;
  • создавать и передавать на управляющий сервер снимок экрана;
  • удалять указанные файлы;
  • прекращать работу указанных процессов;
  • копировать файлы;
  • передавать на управляющий сервер список запущенных процессов, информацию об операционной системе и дисках зараженного ПК;
  • завершать по команде собственную работу.