密室內的槍聲！「雙槍2」感染過程實錄

前言

去年7月，360安全中心曾率先曝光國內首例連環感染MBR（磁碟主引導記錄）和VBR（卷引導記錄）的頑固木馬——「雙槍」。（http://www.freebuf.com/articles/web/140113.html）今年3月初，360安全中心發現「雙槍」新變種開始出沒，並從其感染行為入手，進行了一次全面分析。

與此前爆發的「雙槍」木馬類似，「雙槍2」是以篡改電腦主頁為目的，其感染跡象是瀏覽器主頁被篡改為帶有「33845」編號的網址導航站。同樣地，「雙槍2」使用了VBR、MBR驅動進行相互保護，查殺難度碾壓「鬼影」「暗雲」等頑固木馬創新高。

與此前不同的是，新變種「雙槍2」 主要通過下載站進行傳播，它增加了與殺軟的對抗策略，會攔截殺軟文件創建；同時，還會通過鎖定系統註冊表HIVE文件，導致正常的服務項無法寫入，猶如設置了封閉的案發環境，對中招電腦進行了一次「密室槍殺」。

以下是對「雙槍2」感染過程的詳細分析。

1 安裝包過程

1.1初始化配置

用戶提供的樣本安裝包,安裝包是帶渠道號的，運行這個安裝包後就會從網上下載一個DLL文件內存執行，下面是下載DLL文件並內存載入執行的流程:

安裝包入口函數:

圖1

該函數主要為獲取ChannelId 並且設置上:

圖2

從文件名中獲取:

圖3

而後設置到註冊表中，後續伺服器通信，打點回傳都會用到該數據。

圖4

設置上:

圖5

而後調用下載DLL的函數:

圖6

1.2讀取解析服務配置

格式化通信數據:

圖7

而後加密數據發送給伺服器:

圖8

然後下載解析伺服器返回的配置文件，伺服器有判斷客戶端IP的,測試北京的IP返回空數據:

圖9

解析配置文件:

圖10

1.3下載載入釋放驅動模塊

獲取到配置中下載URL後，下載對應的DLL文件:

圖11

下載好後 計算下md5 跟配置文件中是否一致

圖12

相同後解密數據載入:

圖13

如果不是PE頭，則異或解密:

圖14

修正導入表函數並且調用：

圖15

圖16

分配空間:

圖17

調用入口點函數:

圖18

而後調用導出函數DllUpdate：

圖19

2 釋放安裝驅動模塊

2.1 環境檢測

該模塊為一個DLL主要導出一個功能函數DllUpdate。

函數入口處先進行打點統計將統計數據打到伺服器。

該函數被調用了很多次，幾乎每個關鍵的步驟都有打點統計

我們看下這個函數:

圖20

伺服器地址為:

圖21

而後發送請求:

圖22

打點後，會對當前環境進行多次判定，決定而後否載入驅動:

圖23

判斷是否支持的文件系統和對應驅動文件是否完整，區分當前系統X86還是X64:

圖24

其中IsWow64Process 為全局構造函數中初始化的:

圖25

判斷文件系統對應文件完整性：

圖26

而後判斷系統目錄下配置文件是否存在:

圖27

而後檢測自身驅動是否已經載入,通過判斷設備名是否存在。

圖28

獲取Nt基地址模塊大小為生成隨機設備名做準備:

圖29

生成設備名:

圖30

判斷設備名存在:

圖31

然後檢測是否在虛擬機中運行, 這次主要是檢測磁碟類型:

圖32

檢測方法:

圖33

2.2 下載安裝惡意驅動

主要是從伺服器下載驅動文件

區分32和64位系統 。

圖34

獲取渠道號:

圖35

以安裝包_後面帶_或者.後面的數字作為推廣渠道號:

圖36

初始化校驗Key方法:

圖37

然後下載驅動文件:

圖38

下載:

圖39

下載好後校驗下文件:

圖40

然後初始化驅動安裝載入系統函數相關代碼:

圖41

獲取當前時間,並以這個計算隨機驅動 文件名:

圖42

獲取隨機驅動名:

圖43

然後在安裝驅動之前再檢測下環境:

圖44

檢測這些工具:

圖45

檢測完成後，開始安裝驅動,以32，64系統分別安裝:

圖46

我們看下X86安裝下函數:

圖47

首先提權:

圖48

然後寫人驅動文件:

圖49

每次0x2000個位元組,循環寫入:

圖50

然後寫入服務項:

圖51

圖52

載入驅動:

圖53

在完成驅動載入功能後，該模塊還帶有接受伺服器指令，統計上傳客戶端信息，並執行惡意代碼能力:

內存載入執行功能:

圖54

圖55

圖56

載入執行DLL:

圖57

收集用戶網卡MAC機器PCID各種信息:

圖58

統計用戶機器上私服相關驅動:

圖59

統計殺軟信息:

圖60

檢測是否運行在VMVare中:

圖61

總結

針對MBR和VBR系列木馬泛濫的情況，360首創了針對此類頑固木馬的強力查殺技術，並且能夠同時自動檢測和修復MBR及VBR，發現電腦瀏覽器主頁被反覆篡改無法恢復、或出現卡慢等情況時，可使用360安全衛士進行掃描查殺，徹底清除該木馬。

360安全中心在此也提醒大家，盡量不要下載來歷不明的軟體安裝，更不要輕易關閉殺軟，給惡意木馬可趁之機。目前，360安全中心也正在對「雙槍2」木馬進行持續追蹤，如有新成果將第一時間與大家分享。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！