fa00x 发表于 2016-7-3 18:41

黑暗幽灵(DCM)木马详细分析

本帖最后由 fa00x 于 2016-7-4 18:31 编辑

第一次看到这大神的木马。这方式真没睡了。转载于 http://drops.wooyun.org/tips/14911 (标注了)
只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:
[*]木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
[*]木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
[*]木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
[*]木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。
[*]木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。
[*]内容过多请自行百度。牛逼之处不多说了。
补充信息。
高度机密:“黑暗幽灵”(别名DCM)木马的未公开信息前一篇文章发出来以后,很多人说里面所有的内容都是已经公开的信息,那么我就来披露一些未公开的非敏感信息吧。从DCM木马的通信方式上来说,2011年时该木马构造一个DNS数据包,包头是DNS查询microsoft.com的子域名,payload则是另一个
封装的数据包,其中包括文件名、文件大小、分片序号以及LZMA压缩后的实际数据内容。木马会将该数据包发往微软的一个IP地址,并
根据网络上行带宽控制发送速度。由于目标IP地址并不是一个有效的DNS服务器,所以木马不会收到任何回复数据。之所以发往微软的
IP地址,是因为以下几方面考虑:
* 国外IP
选择一个国外的IP地址会确保数据包通过城市出口,省出口以及中国的互联网国际出口,因此大幅提高我们截取到这些DNS数据包的成
功率,而且当用户携带被感染的笔记本电脑等便携式设备到其他没有布防的省市时,我们仍然可以从国际出口的UDP 53上行数据中截获
所需的数据。
* 降低可疑度
Windows操作系统自身原本就会发送大量的关于microsoft.com域名的DNS请求,包括自动更新、错误报告等诸多功能,都会发往微软。
因此我们也伪装成相似的DNS请求,从而降低数据包的可疑度,即使触发了防火墙的报警,用户仍然有很大概率选择放行。
* 微软不是中国的“敌对势力”
起始最初我们曾经设置将数据发往Google,但我们的客户认为Google是“境外敌对势力”,将这些敏感数据发往Google是绝不可接受的。
于是经过讨论,我们认为微软本身作为操作系统的开发者,原本就有大量的隐私数据被发往微软,也不在乎再加一点。而且一旦此事真的
被大家发现了,安全专家开始关注这个木马(就像现在这样),微软还可以成为一个合理的“怀疑对象”,顺理成章的把我们的责任推到
微软的头上。数据包的重组则依赖于多层网络探针设备,我前面已经说过了,这个木马的背后是一个国家机关,因此我们可以得到这些DNS数据包的
渠道是非常广泛的。以一个家庭用户为例,有以下节点可供我们获取这些数据:
* 运营商提供的宽带路由器或Modem
部分型号是有预留后门的,可以直接远程激活。即使你家中的路由和Modem没有后门,在确实必要的情况下我们会干扰你的网络,迫使你
主动联系运营商进行维修,然后我们派人伪装成运营商工作人员去“维修”你家中的设备甚至直接建议你更换设备(设备老化之类的借口)
除此之外,我们还会在局域网内通过主动的扫描以及被动的监听等方式,来采集局域网内设备的信息,尤其是无线设备的信息。
* 小区交换机
很多小区有自己的电话交换机,我们会直接在电话交换机柜里加装小型低功耗设备,将你的网络数据镜像出来,并储存在设备的硬盘中
或转发到其他IP地址。如果使用转发模式,可能会复用你的宽带网络,反正用户在你家里抓包是绝对看不到任何异常的。
* ISP机房
不用解释了,大家都知道怎么回事。ISP机房的好处是设备的功耗和体积没有限制,可以做更多的事。缺点是插拔电话线时会导致用户的
网络暂时中断,而且ISP机房又只在工作时间向我们开放,所以偶尔可能会被用户察觉到网络和电话突然中断几十秒到几分钟。
* 当地的公安机房
ISP会将部分数据镜像给公安机关,主要是TCP 80上行和UDP 53上行,因为这两个端口的上行数据量都不大,而且包含了我们所关心的
大部分信息。这也是DCM木马选择使用DNS数据包的原因之一。
* 城市出口
一线二线的大城市的互联网出口几乎都有我们的设备,但2011年时中小城市的覆盖率则相对较低,现在的覆盖率恐怕已经包含了大部分
互联网发达的三级城市了。
* 省出口
国内所有的省级互联网出口都有大量的网络探针设备,其中有一部分是我们的,也有一些是其他机关部门的。
* 国际出口
其实国际出口我们是没有办法直接访问的,只是特例有需要的情况下可以拿到镜像数据而已,但这可以作为最后一个机会。这里面有些层级是会暂时或长期地保留数据的,比如公安机房和国际出口,数据会被选择性的存储下来,供日后查阅。不过那篇分析文章里找到IP地址是百度之类的国内IP,估计和最近几年的政策变动有关系。也许微软也成为了境外“敌对势力”之一,
从微软的OneDrive服务被墙就可以看出,中国对于微软也是不信任或者不完全信任的态度。DCM Team Member
2016年4月17日
-----BEGIN PGP SIGNATURE-----

fa00x 发表于 2016-7-3 19:33

DCM
主要特点
* 无进程无窗口
该木马的受害者不能明显察觉到任何异样
* 长期免杀
杀毒软件与防火墙不能发现和拦截,包括木马的安装过程,以及安装成功以后的长期运行
* 不泄漏使用者信息
必须保障该木马控制者身份的绝对安全,任何情况下都不能泄漏控制者的IP地址、域名或者其他任何有价值的身份信息。即使样本被杀毒软件厂商获取并分析,也无法得知控制者的确切身份。
* 完全自动化
无需人工介入,根据事先的配置设置,全自动窃取信息并回传。没有网络连接的情况下要保存获取的信息,发现可用网络连接后进行回传。

fa00x 发表于 2016-7-4 18:38

注册一下帐号 发表于 2016-7-4 15:52
不就是利用命令行版xuetr修改安全软件白名单配置的一个远控木马吗

亲他的劫持反馈才是 出彩的地方

fa00x 发表于 2016-7-3 18:55

个人感觉这个是个团队精心的作品。没个1年半年是下不来的。就是过免杀就得几个月。这个构架。主代码真是高端品质。没谁了

wise__man 发表于 2016-7-3 19:09

有样本可以分析吗?

fa00x 发表于 2016-7-3 19:33

wise__man 发表于 2016-7-3 19:09
有样本可以分析吗?

那是不可能有的。个人估计主代码的超到50w+的高度

yakun1994 发表于 2016-7-3 19:40

电脑没值钱的,不怕{:1_900:}

C-FBI-QM 发表于 2016-7-3 20:01

转载请注明出处

longhai001 发表于 2016-7-3 20:34

这从哪转载的

时恋光 发表于 2016-7-4 08:41

火钳刘明

注册一下帐号 发表于 2016-7-4 15:52

不就是利用命令行版xuetr修改安全软件白名单配置的一个远控木马吗
页: [1] 2
查看完整版本: 黑暗幽灵(DCM)木马详细分析