火绒安全实验室 发表于 2019-4-26 20:25

火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击

一、      概述
正在公测的火绒5.0新版初显威力,在用户的试用过程中,顺利完成了对一种常见黑客攻击的防御,不光及时感知、拦截了黑客攻击,还通过“火绒威胁情报系统”完整解析出整个攻击流程,进而实现对该种攻击的多重防御。
该事件中,用户的服务器数据库被攻击时,火绒5.0版的“应用加固”模块被触发,立刻拦截了黑客攻击。随后,“火绒威胁情报系统”收到相关威胁信息并展开分析,解析出该种攻击的全部流程。
https://fj.ikafan.com/attachment/forum/201904/26/201211pr11m8grv8v33tp3.png.thumb.jpg【黑客攻击完整流程】:黑客通过攻击服务器中的数据库,入侵用户电脑,然后植入多个“后门病毒”,再通过“后门病毒”派发各种病毒模块,甚至还有可能使被感染的电脑,攻击其他电脑。
针对这种较为常见的黑客攻击行为,火绒5.0可实现多重防御。
1、黑客在攻击服务器数据库时,会触发火绒5.0【应用加固-数据库】防御功能。该功能可针对电脑及服务器上的各类程序进行加固,阻止黑客利用程序,实施下载病毒等恶意行为;
https://fj.ikafan.com/attachment/forum/201904/26/201234p5pgn5uut3qv151n.png.thumb.jpg   2、如果【应用加固】功能被关闭,导致黑客成功入侵电脑并下载后门病毒文件,一旦病毒文件开始运行,火绒5.0的【文件实时监控】就会及时拦截、查杀,使其无法运行作恶;
3、如果上述两个功能都关闭,这些“后门病毒”控制用户电脑,向外发起攻击时,火绒5.0的【僵尸网络防护】功能可有效拦截,阻止被黑客控制。
https://fj.ikafan.com/attachment/forum/201904/26/201245k7ndw616gfpffn75.png.thumb.jpg   火绒5.0是火绒安全软件最新版,整体防御能力再次升级,增添、优化多项硬核功能(默认为开启,请不要随意关闭)。这些功能都是针对普通用户在日常使用中,经常遇到的安全威胁而研发,可以有效解决病毒、木马、流氓软件、恶意网站等诸多常见安全问题,让用户能够“安全、方便、自主、自由地使用自己的电脑”。
目前,火绒5.0公测版已经在官网上线,欢迎大家前往下载、体验。 https://www.huorong.cn/betaPage.html
此外,火绒4.0用户无需担心,最新版也可查杀该病毒。

二、      样本分析
近期,火绒通过5.0应用加固功能截获到一起病毒攻击事件,黑客会通过攻击SQL Server服务器的方式进行病毒传播,攻击成功后,数据库相关进程会执行恶意代码下载执行后门病毒。此次被传播的后门病毒为Gh0st后门病毒的变种,具体功能包括:终端数据收集,接收和执行控制命令、派发执行任意病毒模块等。

后门病毒启动流程
后门病毒外层为混淆器代码,混淆器逻辑较为简单,首先会解密原始PE镜像,之后调用原始PE镜像中的导出函数Shellex。被解密执行的原始镜像为Gh0st后门病毒变种,病毒运行后会将其注册为系统服务驻留用户电脑。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201325lsng98vge8cmffon.png.thumb.jpg混淆器后门病毒代码执行后,首先会初始化字符串、获取运行所需API地址。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201337w2dldqhy4q2h7yjg.png.thumb.jpg初始化字符串、获取API地址病毒会在不同的操作系统中执行不同的病毒逻辑。如果是Vista以上的系统, 则在命令行后添加Win7 参数,以当前用户权限重新启动程序。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201347p29q0o8otto228j8.png.thumb.jpg以当前用户权限重新启动
后门病毒部署
病毒运行后,会在Program Files目录下创建WinRAP文件夹,并会将自身拷贝为该目录下的随机名可执行文件,之后隐藏文件并将其注册为系统服务。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201406n3a6366tstud7db5.png.thumb.jpg病毒执行相关代码添加感染信息注册表,方便之后的信息收集和控制。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201417vfamacax0wqh4qq5.png.thumb.jpg添加病毒注册表https://fj.ikafan.com/attachment/forum/201904/26/201508qe16au1dtn85tzdn.png.thumb.jpg病毒注册表
后门控制功能
收集计算机的软硬件信息,用于发送上线包。收集的信息具体如下:
https://fj.ikafan.com/attachment/forum/201904/26/201525isemik533cmssbw7.png.thumb.jpg收集的信息检测软件运行信息,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201534vd44hr2yi6atffd3.png.thumb.jpg检测软件名称信息收集相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201545seysu8ps88exc81u.png.thumb.jpg收集软硬件信息将收集到的信息添加固定数据头HTTPWWW.NCBUG.COM,进行简单加密,发送到服务器,服务器域名为fjm187.f3322.org,端口号为1987。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201555pko6yoymfy0tztey.png.thumb.jpg添加固定数据头https://fj.ikafan.com/attachment/forum/201904/26/201645sfwgm78p3gmwm97f.png.thumb.jpg发送加密后的上线数据接收服务器回传的数据后同样需要进行解密,解密后可以根据控制命令执行后门控制功能。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201701g87e8k3vhljyev33.png.thumb.jpg解密执行控制命令后门控制功能如下:
https://fj.ikafan.com/attachment/forum/201904/26/201711omtwi7v59mstqw06.png.thumb.jpg后门控制功能相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201725fgxgs8kxn9838k3t.png.thumb.jpg后门功能被释放病毒模块
后门病毒还会根据不同的操作系统,释放不同的病毒模块进行执行。通过检测是否存在vmtoolsd.exe进程,进行检测虚拟机。如果不是虚拟机,则检查操作系统的版本,如果是win8或者是windows server2012,则释放并运行名为cscrss.exe的后门病毒,否则释放运行cszrss.exe。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201740hvnppfqfj7vmclfj.png.thumb.jpg
释放文件cscrss的恶意行为与之前的后门病毒基本相同,只是更改服务器域名和端口, 域名为etc.xmcxmr.com, 端口为2218。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201750cs3f266cfwgy6fcs.png.thumb.jpg后门病毒cscrsscszrss为另一个后门病毒,病毒逻辑与之前后门病毒相似,连接域名为backmuma.ddns.net,端口为81。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201800i0rwg6q7992lf9r9.png.thumb.jpg后门病毒cszrss在cszrss中带有“神农远控”相关字符串,并且利用神农远控生成的后门病毒与之前的所有后门程序都有一定的相似性,而神农远控由Gh0st后门代码改写,因此判断上述后门均是Gh0st后门的不同变种。
下载执行其他病毒模块
后门病毒会通过控制命令从C&C服务器派发执行其他病毒模块,以派发下的一个蠕虫病毒为例进行分析。派发到终端的蠕虫病毒名为notepad_protected.exe,该病毒会连接不同的域名和端口进行上线包的发送,接收指令,下载执行其他病毒模块。病毒连接的C&C服务器地址及端口信息,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201815v3a053h5hha0f29k.png.thumb.jpgC&C服务器地址及端口信息相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201827t7u2lc4c49ys4gek.png.thumb.jpg后门连接不同域名其中ddos.jqddos.in域名,通过搜索该域名网站的历史数据我们得知,该域名下网站,曾对外提供付费的DDoS攻击服务,该域名下网站几年前已被关停。相关信息,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201838uv70zppyxrkrkpk6.png.thumb.jpgddos.jqddos.in域名下网站页面信息病毒执行后会遍历磁盘目录释放lpk.dll文件,进行动态库劫持。lpk.dll装载后会从资源节释放文件并执行(释放文件与派发下来的病毒文件为同一文件),以此进行驻留和传播。相关代码,如下图所示:
https://fj.ikafan.com/attachment/forum/201904/26/201855dkrr4urh68dkoomk.png.thumb.jpg释放lpk.dllhttps://fj.ikafan.com/attachment/forum/201904/26/201904wv6ivf2jwawj0nsm.png.thumb.jpg从资源节释放文件并执行三.附录
样本hash:
https://fj.ikafan.com/attachment/forum/201904/26/201915dm9eokmgeleeey1f.png.thumb.jpg

gzsklsskszngc 发表于 2019-4-27 09:17

J20 发表于 2019-4-26 20:57
火绒什么时候加云?

加云就得要流量,要流量就得要钱。目前火绒没有流量入口,属于纯免费,不像其他给你推送各种广告的流氓。

火绒安全实验室 发表于 2019-4-29 15:28

灰灰。 发表于 2019-4-26 22:39
我只想问问旧版本中,有时出现占用系统大量资源导致电脑卡顿的情况有没有改善

您好,火绒在高速扫描的时候会尽可能的使用CPU资源,所以在高速扫描的时候CPU占用较高是正常现象。如果您不想使用这么多CPU资源,可以选择常规扫描。如果未开启高速扫描仍占用很多资源,您可以联系火绒工程师远程查看。工程师qq:1959360994

ncjwapj 发表于 2019-4-26 20:44

谢谢分享,,,,

1006706246 发表于 2019-4-26 20:55

嘿嘿,这个软件还是不错的

J20 发表于 2019-4-26 20:57

火绒什么时候加云?

2623666 发表于 2019-4-26 20:59

目前4.0用得很好

小学dog 发表于 2019-4-26 21:06

我现在就在用,挺不错

yinghua520 发表于 2019-4-26 21:22

感谢分享,一直用着火绒

汉克 发表于 2019-4-26 21:30

没用过,试试看

万军 发表于 2019-4-26 22:10

图片加载有点慢

lxj1971 发表于 2019-4-26 22:14

一直使用着火绒
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击