?

Sep 03 2016

一個文件,百種名稱,百種行為:“百家”木馬集團分析

首頁 » 業界見聞 » 一個文件,百種名稱,百種行為:“百家”木馬集團分析   

0×00背景

近日,騰訊反病毒實驗室攔截到一批偽裝成客戶通知單的木馬,該木馬會根據自身文件名的不同而進行多種不同的惡意行為,經測試,目前國內的多款殺毒軟件尚不能查殺該病毒,多個木馬的變種MD5被多款安全軟件加入到白名單中,導致主動防御也失效。該木馬近期持續活躍,傳播量上萬,該木馬有以下特點:

1)通過文件名控制自身行為,根據不同的文件名有著多達六十多種不同的行為。

2)以直接通過查詢遠程數據庫的方式獲取配置信息,減少了不少工作量,但暴露了數據庫的帳號密碼。

3)篡改本地受信任數字證書列表,并構造證書給木馬簽名,逃避查殺。

 

1.jpg

 

0×01木馬文件概況

2.jpg

 

 

文件名:客戶通知單xxx.exe(xxx代表id號)

MD5:ab8c32c0360d063375794e76ae824a30

大小:340992字節

 

×02樣本行為分析

1、加載器行為

1)木馬運行后首先從文件名中從左到右查找數字,找到后轉換成數值作為木馬id,如果沒有找到則彈出如下錯誤框。

3.jpg

 

2)得到id后,直接連接遠程數據庫,數據庫地址、用戶名、密碼加密內置于木馬文件中。

4.jpg

3)連接成功后直接通過id查詢木馬此id對應的配置信息。

5.jpg

 

5.5.jpg

 

4)該數據庫是SQL Server數據庫,得到地址、用戶名、密碼等信息后可直接連接數據庫,我們震驚地發現,數據庫中存儲了多達67種配置,經分析,大多為功能獨立的木馬,也就是說,根據不同的ID,可能執行的木馬多達67種。6.jpg

 

5)經過對木馬行為的分析,結合數據庫中的實際數據,我們得知配置中的比較重要的字段的意義,將其列舉如下:

 

 配置字段  功能
 id  木馬id
 jm  解密密鑰
 daxiao  文件大小    
 fanghi  要創建的傀儡進程
 zcb  要創建的注冊鍵值    
qidong 是否要自啟動
 shijian  過期時間
dz 下載木馬的URL

 

 6)幾乎每個有效的配置都含有一個名為dz的字段,大多為boxpro.cn云盤上的文件鏈接,木馬判斷配置中的到期時間是否還有效,如果有效則下載相關文件,這些文件是木馬核心功能文件,已被加密處理。7.jpg

 

7)解密算法如下,解密密鑰保存在配置信息的jm字段中。

8.jpg

8)解密后得到PE文件,并根據配置的傀儡進程信息,創建傀儡進程執行PE。9.jpg

 

10.jpg

 

 

2、PlayLoad分析

該木馬根據不同的id,可以下載執行多大60多中不同的PlayLoad,經抽樣分析,這些不同的PlayLoad大多為Gh0st遠程控制木馬,每個木馬的有著不同的C&C服務器,應該是不同的使用者所使用,當然PlayLoad中還包含有少量的QQ粘蟲木馬(如ID 46),及其他游戲盜號木馬。這些PlayLoad均在傀儡進程中運行。以下取一個典型的Gh0st遠控進行簡單分析。

1)首先在SysTem32目錄下釋放TrustedCert.cer、Trusted.cer兩個證書文件,分別為根證書和CA證書,隨后將證書安裝在本地計算機中。證書情況如下:

11.jpg

12.jpg13.jpg

14.jpg

 

15.jpg

 

2)釋放winlogopc.exe、DULIB.DLL兩個文件到System32目錄組成白加黑,并執行winlogopc.exe,winlogopc.exe為聯想相關文件,為白文件。16.jpg

3)DULIB.DLL為黑文件,通過白加黑劫持啟動,其擁有偽造的Bitdefender SRL數字簽名,然而因為木馬之前在本地安裝了數字證書,使得偽造的簽名有效,用于逃避安全軟件檢測查殺。17.jpg

4)DULIB.DLL運行后再次創建一個wextract.exe傀儡進程,并解密出一個PE注入到傀儡進程中執行。18.jpg

 

5)添加注冊表實現開機啟動winlogopc.exe,并不斷守護傀儡進程和注冊表一旦被結束,立即重新創建進程添加注冊表啟動項。

6)傀儡進程wextract.exe中執行的代碼為遠程控制木馬Gh0st變種,C&C服務器地址如下:

域名/ip:a.vo88.top

端口:1818

 

19.jpg

 

 

0×03后記:

經過對木馬加載器的詳細分析和配置信息的猜測解讀,做出如下圖猜測,木馬作者負責木馬的免殺(同一個文件),并通過SQL Server上的配置信息來管理和銷售木馬,每賣出一個木馬作者便為牧馬人開立一個帳號,并新增一個ID與之對應,牧馬人每次生成木馬時會自動將配置信息上傳SQL Server上,包括木馬的到期時間等內容則由作者直接配置。20.jpg

 

然而,作者為什么要通過文件名來實現ID的控制呢?為什么給牧馬人分配同一個文件只是文件名不同呢?經過大量的分析測試,我們發現該木馬文件在國內多個安全廠商的白名單中,因為改變文件內容的任意一個字節都會導致木馬不被信任,而任意修改文件名,則不影響白名單信任。

木馬的MD5為:ab8c32c0360d063375794e76ae824a30,安全廠商們可自行查詢是否位于自家的白名單中,并審核加白渠道。

* 投稿:騰訊安全管家(企業賬號),轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: 百家木馬集團 百家木馬分析

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «“百家”木馬集團第二彈:冒領數字簽名 | 關于近期曝光的針對銀行SWIFT系統攻擊事件綜合分析»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖