近日，安天追影小組在整理網絡安全事件時，針對Windows平臺下名為“Bitter”的木馬家族進行了簡要的分析。該家族木馬的網絡通信數據包通常包含“BITTER1234”字符串，故命名為“Bitter”家族。攻擊者會給目標發送偽裝好的DOC和XLS文檔文件，而這些文檔含有或能被利用下載RAT惡意代碼，并采用CVE-2012-0158漏洞進行偽裝試圖在被感染的系統中盜取敏感文檔。

      安天追影小組針對Bitter木馬家族的樣本進行分析，發現該樣本使用Microsoft Visual C++8.0進行編譯，Bitter家族舊變種是通過未加密的HTTP POST傳遞C&C信息，而在該樣本中采用的是加密的TCP連接。樣本程序試圖將自身偽裝成Microsoft Printer Spooling Service，并帶有不受信任的數字簽名。此外，樣本還會調用CMD Copy命令，將自身復制到系統”\Application Data\”目錄并重命名，通過創建多個線程來與C&C建立連接并循環接收消息、執行命令。

      經分析，該RAT樣本包含以下幾種功能：獲取系統信息（計算機名稱、用戶名稱、操作系統版本）、枚舉邏輯驅動器、枚舉日志文件以及它們的時間戳、打開遠程命令Shell、列舉活躍的UDP連接、控制正在運行的進程、文件下載。利用這些功能攻擊者可以遠程控制受害者的電腦。Bitter家族使用免費的DDNS服務，建立自己C&C托管服務器，并使用Gmail偽造自己的身份信息。

      該樣本在被感染設備上識別了邏輯驅動器后，會進行枚舉文件，并檢查它們是否匹配硬編碼在樣本中的文件擴展名DOC, PPT, XLS, DOCX, PPTX, XLSX, PDF, ZIP, 7Z, TXT, RTF等，因此可以判定，該樣本的目的是竊取這些擴展名類型的敏感文件。

      隨著對Bitter家族的分析，可以發現越來越多的惡意代碼使用公共網絡服務來設置自己的C&C，例如免費的DDNS服務、Gmail等，這使得防御和治理的難度有所提高。安天提醒廣大網絡使用者，要提高網絡安全意識，收發郵件時要確認收發來源是否可靠，更加不要隨意點擊或者復制郵件中的網址，不要輕易下載來源不明的附件，發現網絡異常要提高警惕并及時采取應對措施。