一個文件,百種名稱,百種行為:“百家”木馬集團分析

責(zé)任編輯:editor007

2016-08-14 22:10:19

摘自:FreeBuf.COM

5)經(jīng)過對木馬行為的分析,結(jié)合數(shù)據(jù)庫中的實際數(shù)據(jù),我們得知配置中的比較重要的字段的意義,將其列舉如下:6)傀儡進程wextract exe中執(zhí)行的代碼為遠程控制木馬Gh0st變種,C&C服務(wù)器地址如下:

000背景

近日,騰訊反病毒實驗室攔截到一批偽裝成客戶通知單的木馬,該木馬會根據(jù)自身文件名的不同而進行多種不同的惡意行為,經(jīng)測試,目前國內(nèi)的多款殺毒軟件尚不能查殺該病毒,多個木馬的變種MD5被多款安全軟件加入到白名單中,導(dǎo)致主動防御也失效。該木馬近期持續(xù)活躍,傳播量上萬,該木馬有以下特點:

1)通過文件名控制自身行為,根據(jù)不同的文件名有著多達六十多種不同的行為。

2)以直接通過查詢遠程數(shù)據(jù)庫的方式獲取配置信息,減少了不少工作量,但暴露了數(shù)據(jù)庫的帳號密碼。

3)篡改本地受信任數(shù)字證書列表,并構(gòu)造證書給木馬簽名,逃避查殺。

001木馬文件概況

文件名:客戶通知單xxx.exe(xxx代表id號)

MD5:ab8c32c0360d063375794e76ae824a30

大?。?40992字節(jié)

002樣本行為分析

1、加載器行為

1)木馬運行后首先從文件名中從左到右查找數(shù)字,找到后轉(zhuǎn)換成數(shù)值作為木馬id,如果沒有找到則彈出如下錯誤框。

2)得到id后,直接連接遠程數(shù)據(jù)庫,數(shù)據(jù)庫地址、用戶名、密碼加密內(nèi)置于木馬文件中。

3)連接成功后直接通過id查詢木馬此id對應(yīng)的配置信息。

4)該數(shù)據(jù)庫是SQL Server數(shù)據(jù)庫,得到地址、用戶名、密碼等信息后可直接連接數(shù)據(jù)庫,我們震驚地發(fā)現(xiàn),數(shù)據(jù)庫中存儲了多達67種配置,經(jīng)分析,大多為功能獨立的木馬,也就是說,根據(jù)不同的ID,可能執(zhí)行的木馬多達67種。

5)經(jīng)過對木馬行為的分析,結(jié)合數(shù)據(jù)庫中的實際數(shù)據(jù),我們得知配置中的比較重要的字段的意義,將其列舉如下:

 

配置字段 功能
id 木馬id
jm 解密密鑰
daxiao 文件大小
fanghi 要創(chuàng)建的傀儡進程
zcb 要創(chuàng)建的注冊表鍵值
qidong 是否要自啟動
shijian 過期時間
dz 下載木馬的URL

 

6)幾乎每個有效的配置都含有一個名為dz的字段,大多為boxpro.cn云盤上的文件鏈接,木馬判斷配置中的到期時間是否還有效,如果有效則下載相關(guān)文件,這些文件是木馬核心功能文件,已被加密處理。

7)解密算法如下,解密密鑰保存在配置信息的jm字段中。

8)解密后得到PE文件,并根據(jù)配置的傀儡進程信息,創(chuàng)建傀儡進程執(zhí)行PE。

2、PlayLoad分析

該木馬根據(jù)不同的id,可以下載執(zhí)行多大60多中不同的PlayLoad,經(jīng)抽樣分析,這些不同的PlayLoad大多為Gh0st遠程控制木馬,每個木馬的有著不同的C&C服務(wù)器,應(yīng)該是不同的使用者所使用,當然PlayLoad中還包含有少量的QQ粘蟲木馬(如ID 46),及其他游戲盜號木馬。這些PlayLoad均在傀儡進程中運行。以下取一個典型的Gh0st遠控進行簡單分析。

1)首先在SysTem32目錄下釋放TrustedCert.cer、Trusted.cer兩個證書文件,分別為根證書和CA證書,隨后將證書安裝在本地計算機中。證書情況如下:

2)釋放winlogopc.exe、DULIB.DLL兩個文件到System32目錄組成白加黑,并執(zhí)行winlogopc.exe,winlogopc.exe為聯(lián)想相關(guān)文件,為白文件。

3)DULIB.DLL為黑文件,通過白加黑劫持啟動,其擁有偽造的Bitdefender SRL數(shù)字簽名,然而因為木馬之前在本地安裝了數(shù)字證書,使得偽造的簽名有效,用于逃避安全軟件檢測查殺。

4)DULIB.DLL運行后再次創(chuàng)建一個wextract.exe傀儡進程,并解密出一個PE注入到傀儡進程中執(zhí)行。

5)添加注冊表實現(xiàn)開機啟動winlogopc.exe,并不斷守護傀儡進程和注冊表一旦被結(jié)束,立即重新創(chuàng)建進程添加注冊表啟動項。

6)傀儡進程wextract.exe中執(zhí)行的代碼為遠程控制木馬Gh0st變種,C&C服務(wù)器地址如下:

域名/ip:a.vo88.top

端口:1818

003后記:

經(jīng)過對木馬加載器的詳細分析和配置信息的猜測解讀,做出如下圖猜測,木馬作者負責(zé)木馬的免殺(同一個文件),并通過SQL Server上的配置信息來管理和銷售木馬,每賣出一個木馬作者便為牧馬人開立一個帳號,并新增一個ID與之對應(yīng),牧馬人每次生成木馬時會自動將配置信息上傳到SQL Server上,包括木馬的到期時間等內(nèi)容則由作者直接配置。

然而,作者為什么要通過文件名來實現(xiàn)ID的控制呢?為什么給牧馬人分配同一個文件只是文件名不同呢?經(jīng)過大量的分析測試,我們發(fā)現(xiàn)該木馬文件在國內(nèi)多個安全廠商的白名單中,因為改變文件內(nèi)容的任意一個字節(jié)都會導(dǎo)致木馬不被信任,而任意修改文件名,則不影響白名單信任。

木馬的MD5為:ab8c32c0360d063375794e76ae824a30,安全廠商們可自行查詢是否位于自家的白名單中,并審核加白渠道。

* 投稿:騰訊安全管家(企業(yè)賬號),轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號