云控攻擊之“人生在世”木馬分析
責編:admin |2015-05-26 15:05:44近期一款名為“人生在世”的木馬家族異常活躍,它隱藏在“小馬激活”、“種子搜索神器迅雷云播版”、“寶寶CF刷槍軟件”、“游戲啟動器”等軟件中,具有較強的免殺能力和大規模傳播能力,目前國內僅360安全衛士能夠識別查殺該木馬家族。
“人生在世”木馬的主要特點是純shellcode類云端控制,木馬的云控代碼藏在幾張美女圖片中,圖片和代碼以“人生在世”這四個字作為“接頭暗號”。
此外,該木馬組裝了“貝殼ARP防火墻”和“ADSafe”的兩個程序,通過白利用方式(針對合法軟件的DLL劫持)加載木馬執行,并采用文件回寫、驅動保護、遠程注入等多個方式隱藏自身。木馬激活后會接受云端控制,向受害者電腦安裝大量軟件賺取推廣費,還會收集受害者信息,從而進一步推送更多惡意程序。
木馬分析
以“小馬激活”工具被捆綁的木馬樣本為例分析:
0x00 逝去的小馬激活
小馬激活工具官方公告:
網頁置頂聲明:
雖然小馬激活工具已經發了公告和聲明,但怎奈網上浩如煙海的搜索結果真假難辨。這也就給了居心不良者以可乘之機。
偽造的小馬激活MD5為:b85507eaf961dae7216b32a99d5ea9dd
所謂的“小馬激活OEM9”模仿得很真實,不僅圖標和真的一樣,界面也非常具有迷惑性。并帶有Shenzhen WangTengda Technology Co., Ltd.簽發的數字簽名,用以躲避部分安全軟件的查殺。
0x01 云控ShellCode
用戶一旦上當,點擊“一鍵永久激活Windows和Office”按鈕后,木馬程序便會啟動,訪問網絡配置文件。地址如下:
hxxp://so.lyehk.com/yan.txt
hxxp://so.lyehk.com/so.txt
通過讀取在線配置文件,得到一個“圖片”文件的網址:
通過讀取在線配置文件,得到一個“圖片”文件的網址:
如圖,目前配置文件為:
hxxp://cdn.pcbeta.attachment.inimc.com/data/attachment/forum/201505/20/142734eg5yntyabgf6yln6.jpg
而下載回來的jpg文件雙擊后可以正常打開,看起來只是個普通的圖片而已
但實際上圖片代碼中有大量的病毒代碼。木馬主程序會將該“圖片”寫入到以下路徑:
C://ProgramFiles/ Files/Common/Filesaaa
完成后,木馬主程序會從偽造的圖片文件中,搜索“人生在世”的字符串。“人生在世”字符串之后的數據,即是一個完整的PE文件。
0x02 加載ShellCode
將后面的PE文件解出來,實際上是一個dll文件,該dll文件僅有要給導出函數:“a123”
Dll文件MD5:F3546FDE0E5E87F1176BA40790F6CCDE
雖然是個dll文件,但實際上木馬主體并沒有把dll落成磁盤文件,而是直接在內存中加載函數并執行。
該函數會向%ProgramFiles%路徑下釋放ADSafe.exe和beikecmm.dll,并啟動ADSafe.exe
被釋放文件MD5分別為:
ADSafe.exe : cb4eabb88e154e6e13b73ef7f6d4f6de
beikecmm.dll : c05ea3bcd40acc001370c1ad02c01985
其中ADSafe.exe帶有有效的數字簽名:Beike Internet Security Technology Co.,Ltd
由于沒有做足夠的安全校驗,ADSafe.exe會直接去動態加載同目錄下的beikecmm.dll,這樣在加載的同時,dll文件的DllMain函數即被執行
0x03 ShellCode * 3
ShellCode Dll執行后,會從自身的資源中再解壓出一段ShellCode,加載到內存中執行。
而內存中的執行代碼則如法炮制,去訪問另一份在線配置文件,下載偽裝的圖片文件
hxxp://so.lyehk.com/kan.txt
hxxp://cdn.pcbeta.attachment.inimc.com/data/attachment/forum/201505/20/151014y100odo0u5lk0atu.jpg
圖片如下:
當然,接頭暗號依然是–“人生在世”。
解出來的dll文件MD5為:48f025d14a689e58c1550dfed9cc47ed
同樣是不落成文件,而是第三次直接加載在內存中執行。
0x04 偽裝術
此時,加載了三重ShellCode的木馬程序會向真的ADSafe安裝程序目錄中釋放真的ADSafe主程序和一個adsCore.dll的dll劫持文件,用以迷惑用戶。并將其添加至啟動項:
偽裝正常程序的木馬程序:
木馬通過“正常”位置釋放“正常軟件”并注冊開機啟動項的方式,實現開機自啟動。啟動后,注入系統進程,隱藏自身工作模塊,繞開常規殺毒軟件的檢測。
0x05 作惡
之后,該程序通過網盤下載東方輸入法、QQ瀏覽器、金山毒霸、百度殺毒、百度衛士、百度瀏覽器、火絨在內的大批推廣軟件,并將安裝結果打點回傳。
木馬在下次開機啟動后,加載起來的木馬驅動,用來結束殺軟進程:
木馬查殺
木馬在與殺毒軟件的對抗中,變得越來越隱蔽,“人生在世”木馬就是一個典型。從功能角度來說,“人生在世”大量使用云控結合shellcode的形式,成為真正的“云”木馬,木馬落到本地的僅僅是一個loader(引導器)模塊,只負責在受害者電腦中活下來,并等待云控shellcode下發,功能代碼均由云端直接發布,具有無需升級、實時更新的能力。
目前國內僅360殺毒和安全衛士能夠全面查殺“人生在世”木馬及其變種,國內其它殺毒產品對這一家族木馬尚無法識別和防御。
根據VirusTotal掃描結果顯示,捆綁木馬包目前只有7款殺毒引擎能夠識別,國內只有360入圍:
木馬工作模塊更是只有5款殺毒軟件能夠檢出:
360安全衛士可攔截并查殺“人生在世”木馬:
如果發現電腦莫名其妙多出一些陌生軟件,可以安裝360安全衛士進行快速掃描,檢測電腦是否感染了“人生在世”木馬。同時建議網友們選擇靠譜渠道下載軟件,避免使用來源可疑的外掛和破解軟件。