吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6628|回复: 35
上一主题 下一主题
收起左侧

[PC样本分析] 回顾:后门病毒Gh0st近年变种演化

   关闭 [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2023-8-21 10:02 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-8-21 10:16 编辑

网络安全的核心本质是攻防对抗。当防病毒技术在不断完善的同时,病毒也在不断设法予以对抗,夹缝求生。Gh0st后门病毒就是其中之一。Gh0st 是一种远程访问工具(RAT),最早出现在2001 年左右,通过远程控制受感染计算机来执行各种恶意活动。其发展历史与网络攻击、渗透测试和间谍活动紧密相连,并且相关代码已经开源,致使对应变种层出不穷,对用户造成了较大的威胁。据“火绒威胁情报系统”显示,Gh0st 在国内常见的后门病毒中占比最大,超过50%。



数据统计图



传统的 Gh0st 由控制器和服务器组成,其功能模块多以插件形式下发,包含如下功能:

·       键盘记录

·       远程终端访问

·       远程音频和视频访问

·       文件管理

·       远程文件下载和执行

·       进程资源管理器和其他系统枚举功能

·       图形用户界面交互(远程控制)

·       自我更新

·       重置 SSDT 以删除现有挂钩


Gh0st木马截图



火绒工程师在分析该病毒的对抗历程和变化特征时发现,该病毒不仅持续更新免杀对抗手段,而且传播途径花样百出,前后发生至少五次主要变种:




第一次变种

黑客通过攻击用户 SQL Server 服务器的方式,利用数据库相关进程下载并执行 Gh0st 后门病毒的早期变种—— “神农远控” ,火绒安全产品及时感知并拦截了该变种。


火绒查杀图



不同于原始 Gh0st 的单一执行方式和注册表的简单利用,该变种除了会在不同的操作系统(InstallTime、WOW64 等)中执行不同的病毒逻辑外,还用于感染后的信息交互。



部分操作截图



在前期信息收集的过程中,该变种除了原有的硬件信息外,还添加了对各种杀软和敏感软件的检测,以供控制端调整执行策略。



软件遍历

在通信方面,一改传统 5 字节 "Gh0st" 默认开头和13 字节特征数据头,通过添加固定的 "HTTPWWW.NCBUG.COM"绕开 Gh0st 的流量端的关键字匹配。对于回传的数据部分,更是直接自定义了要执行的shellcode 代码,用于指定各种自定义操作。



代码部分截图及完全功能展示



相关文章链接:




第二次变种

在供应链污染问题上,“火绒威胁情报系统”同样发现了 Gh0st 变种的利用踪迹。一款名为 HellohaoOCR_V3.1 的图像识别程序经分析携带着后门病毒Scvhost.exe(Gh0st 的变种),该程序作者由于利用了第三方的易语言导致编译环境被感染,从而导致病毒被不断扩散。



火绒查杀图

Scvhost.exe 作为 Gh0st 的一个变种,除了通过传统的 C&C 服务器接收上线消息通知外,还添加了可以通过 QQ 上线的方式。其原理是通过 QQ 一个公开接口来获取加密之后的其他 C&C 服务器地址和端口,以此变换服务器地址并绕过杀软 IP 封禁。



远控配置界面

该变种在执行层面上,继承了前面已提到过的杀软对抗,shellcode 代码执行等特点。但在通信操作上,除了前面提到的 QQ 上线外,该变种会通过第三方网站 “ip.cn” 来获取真实的 C&C 服务器地址,确保获取到的 C&C 服务器地址不会受到当前网络环境影响(比如 DNS 劫持)。



相关代码及功能展示






第三次变种

黑灰产软件往往是病毒聚集的重灾区,Gh0st 变种也将目光瞄准了此处。火绒安全工程师根据用户反馈和“火绒威胁情报系统”监测,发现 Gh0st 的变种通过 “穿越火线” 等多款游戏外挂传播,并通过 QQ 群、网盘等渠道持续扩散。



火绒查杀图




在本次事件中 Gh0st 变种的执行依托于父文件 “白加黑” 的攻击组合,经过多层 PE 流调用和内层解密逻辑,最终通过动态库的导出函数调用内存中注入的 Gh0st 变种:



相关代码及功能展示



与上面例子中提到的后续操作中不同的是,该变种直接下发勒索病毒进行全盘文件加密,还会在遍历检测杀毒软件的过程中,通过控制端消息弹窗功能对中毒用户进行恐吓“别杀毒了,木有用”:




第四次变种


Gh0st 变种不断在免杀对抗方面加强。火绒安全工程师在用户感染的电脑中发现了蠕虫病毒,根据相关威胁信息展开溯源分析,最终发现是以 Gh0st 变种后门为 "主",蠕虫为 "辅" 的恶意控制行为。


绒查杀图

该 Gh0st 的变种在注册修改,杀软遍历以及自定义的后门控制功能上,与第一个例子《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》文章中分析的变种相差无几,根据连接的域名的同源性以及 DDOS 模块的移除(DDOS 网站已过期),可以判断是同一样本的不断改进。



相关代码及功能展示



值得注意的是其最终落地的方式,作为嵌入最深,解密最多,最后释放的“本体” ,其所依附的父文件经过多层嵌套。使用了包括多层 PE 流调用、VMProtect和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆在内的多种免杀技术。被捆绑的其它家族的感染型病毒用于掩护后门执行并加大破坏性,影响恶劣。


相关代码及功能展示



相关文章链接:




第五次变种



近期火绒安全工程师在追踪 "Xidu" 组织的过程中,捕获到的多个“Xidu”变种样本, "Xidu" 团伙所使用的后门病毒实质为 Gh0st 的新型变种。



火绒查杀图



其在逻辑上改动很大,对代理和激活命令的设置,以及上线间隔,数据包标志等大量代码都进行删改,但主体框架依旧可辨。



主逻辑对比图



对于一些边缘的功能函数,则没有发现太大的改动,由此更加确信其基于 Gh0st 开发的判断。



逻辑对比


逻辑对比



在对该变种的追踪过程中,其使用的免杀技术经过多次迭代:多层 “白加黑”——>多层 PE 调用流——>加壳混淆——>DDR 绕过等,改进十分频繁。


流程迭代图



除了上述中提到过的手法外,该变种利用压缩包嵌套释放出大量落地文件,对于 C2 等配置也会存放到单独文件中,期望减少自身威胁特征值并干扰分析流程。除此之外,其还通过快捷方式来将自身添加到注册表进行持久化,一改原始服务写入的方式。关于分析细节,请转到对应文章链接中查看。



相关代码及功能展示



相关文章链接:



对于以上变种,火绒安全工程师在深入了解其攻击原理和手法特征后,将防御策略应用到产品中,可进行拦截、查杀。该病毒团伙预计后续还会持续更新其变种,火绒安全实验室会持续跟进,保障用户的终端安全。

免费评分

参与人数 9吾爱币 +9 热心值 +9 收起 理由
Maxzby + 1 + 1 热心回复!
bury咩 + 1 + 1 热心回复!
安道尔的鱼 + 1 + 1 我很赞同!
lgc81034 + 1 谢谢@Thanks!
play0day + 1 + 1 我很赞同!
z76831837 + 1 + 1 用心讨论,共获提升!
北冥鱼 + 2 + 1 热心回复!
w220913 + 1 + 1 我很赞同!
pp67868450 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
cyxnzb 发表于 2023-8-21 13:58
哈哈哈想起来以前小时候在书店买过什么黑客攻防的书,里面介绍了不少远控的木马,什么大灰狼之类的,然后记得印象中大概16年吧进过一个群,群里面虽然是交流技术的,但是吧开发的软件还是有点那啥,有个作者开发了个通过爬虫批量扫sql注入的软件,那时候确实能搜到不少疑似sql的注入点
推荐
SN1t2lO 发表于 2023-8-23 09:42
我特别想知道,前段时间火绒导致所有基于Electron框架的程序卡顿是什么原因?由于当时找不出卡顿原因,我甚至一度以为被FBI盯上了
3#
大白baymax 发表于 2023-8-21 10:52
以前当hacker的时候,用过这款远控,并且当时还有白金远控。
4#
lolamb 发表于 2023-8-21 10:55
如果系统有像安卓一样的权限管理就好了 火绒是否能添加程序活动日志追踪看看程序究竟在干什么
5#
yasenhacker 发表于 2023-8-21 11:32
大白baymax 发表于 2023-8-21 10:52
以前当hacker的时候,用过这款远控,并且当时还有白金远控。

阜新大灰狼,白金,鬼影等等,,,可惜白金作者灯塔落马,白金源码也没有被流出来
6#
Lazycat1024 发表于 2023-8-21 12:17
lolamb 发表于 2023-8-21 10:55
如果系统有像安卓一样的权限管理就好了 火绒是否能添加程序活动日志追踪看看程序究竟在干什么

火绒剑可以
7#
tek2y 发表于 2023-8-21 13:26
记得这个远控的源代码里有逻辑硬盘锁,需要废掉硬盘锁的代码后才能修改编译代码,不然会锁硬盘
8#
hapain 发表于 2023-8-21 14:19
学习更新知识
9#
momo2436 发表于 2023-8-21 14:22
会不会比远程软件还流畅。
10#
ak0000321 发表于 2023-8-21 14:50
所以我应该怎么办?全家桶还是裸奔?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表