密室內的槍聲!「雙槍2」感染過程實錄
前言
去年7月,360安全中心曾率先曝光國內首例連環感染MBR(磁碟主引導記錄)和VBR(卷引導記錄)的頑固木馬——「雙槍」。(http://www.freebuf.com/articles/web/140113.html)今年3月初,360安全中心發現「雙槍」新變種開始出沒,並從其感染行為入手,進行了一次全面分析。
與此前爆發的「雙槍」木馬類似,「雙槍2」是以篡改電腦主頁為目的,其感染跡象是瀏覽器主頁被篡改為帶有「33845」編號的網址導航站。同樣地,「雙槍2」使用了VBR、MBR驅動進行相互保護,查殺難度碾壓「鬼影」「暗雲」等頑固木馬創新高。
與此前不同的是,新變種「雙槍2」 主要通過下載站進行傳播,它增加了與殺軟的對抗策略,會攔截殺軟文件創建;同時,還會通過鎖定系統註冊表HIVE文件,導致正常的服務項無法寫入,猶如設置了封閉的案發環境,對中招電腦進行了一次「密室槍殺」。
以下是對「雙槍2」感染過程的詳細分析。
1 安裝包過程
1.1初始化配置
用戶提供的樣本安裝包,安裝包是帶渠道號的,運行這個安裝包後就會從網上下載一個DLL文件內存執行,下面是下載DLL文件並內存載入執行的流程:
安裝包入口函數:
圖1
該函數主要為獲取ChannelId 並且設置上:
圖2
從文件名中獲取:
圖3
而後設置到註冊表中,後續伺服器通信,打點回傳都會用到該數據。
圖4
設置上:
圖5
而後調用下載DLL的函數:
圖6
1.2讀取解析服務配置
格式化通信數據:
圖7
而後加密數據發送給伺服器:
圖8
然後下載解析伺服器返回的配置文件,伺服器有判斷客戶端IP的,測試北京的IP返回空數據:
圖9
解析配置文件:
圖10
1.3下載載入釋放驅動模塊
獲取到配置中下載URL後,下載對應的DLL文件:
圖11
下載好後 計算下md5 跟配置文件中是否一致
圖12
相同後解密數據載入:
圖13
如果不是PE頭,則異或解密:
圖14
修正導入表函數並且調用:
圖15
圖16
分配空間:
圖17
調用入口點函數:
圖18
而後調用導出函數DllUpdate:
圖19
2 釋放安裝驅動模塊
2.1 環境檢測
該模塊為一個DLL主要導出一個功能函數DllUpdate。
函數入口處先進行打點統計將統計數據打到伺服器。
該函數被調用了很多次,幾乎每個關鍵的步驟都有打點統計
我們看下這個函數:
圖20
伺服器地址為:
圖21
而後發送請求:
圖22
打點後,會對當前環境進行多次判定,決定而後否載入驅動:
圖23
判斷是否支持的文件系統和對應驅動文件是否完整,區分當前系統X86還是X64:
圖24
其中IsWow64Process 為全局構造函數中初始化的:
圖25
判斷文件系統對應文件完整性:
圖26
而後判斷系統目錄下配置文件是否存在:
圖27
而後檢測自身驅動是否已經載入,通過判斷設備名是否存在。
圖28
獲取Nt基地址模塊大小為生成隨機設備名做準備:
圖29
生成設備名:
圖30
判斷設備名存在:
圖31
然後檢測是否在虛擬機中運行, 這次主要是檢測磁碟類型:
圖32
檢測方法:
圖33
2.2 下載安裝惡意驅動
主要是從伺服器下載驅動文件
區分32和64位系統 。
圖34
獲取渠道號:
圖35
以安裝包_後面帶_或者.後面的數字作為推廣渠道號:
圖36
初始化校驗Key方法:
圖37
然後下載驅動文件:
圖38
下載:
圖39
下載好後校驗下文件:
圖40
然後初始化驅動安裝載入系統函數相關代碼:
圖41
獲取當前時間,並以這個計算隨機驅動 文件名:
圖42
獲取隨機驅動名:
圖43
然後在安裝驅動之前再檢測下環境:
圖44
檢測這些工具:
圖45
檢測完成後,開始安裝驅動,以32,64系統分別安裝:
圖46
我們看下X86安裝下函數:
圖47
首先提權:
圖48
然後寫人驅動文件:
圖49
每次0x2000個位元組,循環寫入:
圖50
然後寫入服務項:
圖51
圖52
載入驅動:
圖53
在完成驅動載入功能後,該模塊還帶有接受伺服器指令,統計上傳客戶端信息,並執行惡意代碼能力:
內存載入執行功能:
圖54
圖55
圖56
載入執行DLL:
圖57
收集用戶網卡MAC機器PCID各種信息:
圖58
統計用戶機器上私服相關驅動:
圖59
統計殺軟信息:
圖60
檢測是否運行在VMVare中:
圖61
總結
針對MBR和VBR系列木馬泛濫的情況,360首創了針對此類頑固木馬的強力查殺技術,並且能夠同時自動檢測和修復MBR及VBR,發現電腦瀏覽器主頁被反覆篡改無法恢復、或出現卡慢等情況時,可使用360安全衛士進行掃描查殺,徹底清除該木馬。
360安全中心在此也提醒大家,盡量不要下載來歷不明的軟體安裝,更不要輕易關閉殺軟,給惡意木馬可趁之機。目前,360安全中心也正在對「雙槍2」木馬進行持續追蹤,如有新成果將第一時間與大家分享。
※路由器暗藏間諜 被收集信息還變成肉雞
※黑客自學必備技能及5G黑客教程書籍分享
TAG:威客安全 |