吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7140|回复: 64
收起左侧

[PC样本分析] Rootkit病毒利用“天龙八部”私服传播,可劫持网页

   关闭 [复制链接]
火绒安全实验室 发表于 2023-11-8 17:51
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-11-8 17:51 编辑

近期,火绒威胁情报系统监测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒通过劫持用户访问的网页来推广自己的私服网站,并且具有广告推广功能。此外,其还采用多种对抗手段来对抗杀毒软件查杀,对用户构成较大威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。

Image-0.png                      
查杀图
用户登录“天龙八部”游戏私服后,Rootkit病毒会被释放,随后进行网页劫持、广告推广等恶意行为。用户再次访问“天龙八部”相关网页时,会跳转到指定的私服网站,该病毒的执行流程,如下图所示:
1106  流程图_画板 1 副本 4.jpg
病毒执行流程图


一、    样本分析
病毒功能的分析
初始化阶段
Rootkit病毒被加载后,会先将自身复制到Driver目录下,并添加注册表启动项,相关代码,如下图所示:
Image-2.png
复制自身到Driver并添加注册表启动项

之后,在驱动模块中会向C&C服务器请求配置信息,成功从C&C服务器获取配置信息后,该Rootkit病毒将这些配置信息整合并添加到各个恶意功能的链表结构中,有些配置会进行加密并保存到注册表中(网页劫持规则、要拦截的驱动列表)。在执行恶意功能时,Rootkit病毒会根据对应链表中的配置信息来确定执行的具体行为和方式。相关代码,如下图所示:

Image-3.png
请求C&C服务器配置信息


获取到的相关配置信息,如下图所示:
Image-4.png
配置信息

病毒自我保护策略
为了降低被检测和清除的可能性,该病毒将自身伪装成系统驱动pci.sys。这种伪装策略使得它在运行时能够混淆在正常系统进程中,让安全人员进行排查时容易疏忽,相关代码,如下图所示:
Image-5.png
伪装成系统驱动

从火绒剑中可以看见有两个pci.sys驱动,如下图所示:
Image-6.png
火绒剑

该Rootkit病毒还会通过Hook FSD (文件系统驱动) 设备对象的方式来保护自身不被读取和修改,来躲避杀毒软件的查杀,相关代码,如下图所示:
Image-7.png
HOOK FSD保护自身不被读取和写入

该病毒还会通过直接向文件系统驱动(FSD)发送 I/O 请求包(IRP)来打开其自身,然后持续保持相关句柄不释放。这种策略将导致恶意驱动无法被删除,从而达成了其自我保护的目标,相关代码,如下图所示:
Image-8.png
保护自身不被删除

为了防止注册表项被删除,该病毒会注册一个关机回调,如果不存在专杀工具的话,就会重新添加一个注册表项,相关代码,如下所示:
Image-9.png
关机回调函数

还会添加一个模块加载回调,该回调中会根据C&C服务器下发的配置信息,来拦截指定的驱动文件,大多数Rootkit病毒都使用该功能来拦截杀毒软件驱动,相关代码,如下图所示:
Image-10.png
模块加载回调拦截指定驱动

该病毒除了采用各种自保策略保护自身外,还会创建一个独立的监控线程来持续检测系统进程,检查是否有专门的杀毒工具在运行,如果发现专杀工具运行就会减少恶意行为,相关代码,如下图所示:
Image-11.png
检测专杀工具

病毒推广策略
在受害者打开指定进程时,会弹出相关推广网页,该病毒在应用层模块和驱动层模块都实现了该功能。
应用层网页推广功能
驱动中会释放随机文件名的应用层模块到Sytem32目录中,通过注入Winlogon进程中执行WinExec来调用该模块,相关代码,如下图所示:
Image-12.png
释放应用层模块

在应用层模块中会向C&C服务器请求配置文件,获取进程以及对应的推广链接,在监测到某进程存在后会打开指定推广链接。获取配置信息代码,如下图所示:
Image-13.png
获取配置信息

在调试过程中C&C服务器并未下发相关推广配置。当用户打开配置中指定的进程时,会弹出指定推广网页,相关推广代码,如下图所示:
Image-14.png
弹出指定推广网页

驱动层网页推广功能
该病毒会添加一个进程回调,在回调中实现类似应用层模块功能,在指定进程启动后会弹出指定的推广网页,相关代码,如下图所示:
Image-15.png
网页推广

网页劫持策略
该病毒使用WFP网络过滤驱动来劫持用户访问的天龙八部私服黑客指定的私服,WFP网络过滤驱动相关代码,如下图所示:
Image-16.png
添加WFP过滤层

在FWPM_LAYER_STREAM_V4过滤层中会监听http请求,会判断访问的网页是否需要劫持,如果需要进行劫持就会记录相关数据流信息以及劫持的网页,相关代码,如下图所示:
Image-17.png
判断是否需要劫持

该病毒实现网页劫持主要通过以下三种方式:1.修改http请求将目标网站改成劫持的网站;2.修改http请求重定向到劫持的网站;3.直接修改网页返回的内容显示劫持网站,网页劫持相关代码,如下图所示:
Image-18.png
网络劫持代码

二、附录
C&C
Image-19.png

HASH
Image-20.png

免费评分

参与人数 29吾爱币 +27 热心值 +27 收起 理由
gyy + 1 + 1 我很赞同!
lsbzc + 1 热心回复!
ZeRan + 1 我很赞同!
AliceSakua + 1 我很赞同!
PiggThird + 1 + 1 我很赞同!
test520 + 1 + 1 用心讨论,共获提升!
Jerrysabc + 1 + 1 谢谢@Thanks!
gh0stNinja + 1 + 1 我很赞同!
Zz4794zZ + 1 + 1 谢谢@Thanks!
crisili + 1 用心讨论,共获提升!
Waylee + 1 + 1 鼓励转贴优秀软件安全工具和文档!
cwc5540102 + 1 + 1 谢谢@Thanks!
cscscscs + 1 + 1 我很赞同!
百生 + 1 + 1 我很赞同!
qjlfl + 1 + 1 热心回复!
vigiles + 1 + 1 谢谢@Thanks!
安道尔的鱼 + 1 + 1 我很赞同!
s347758 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Windstormger + 1 + 1 用心讨论,共获提升!
wugaga + 1 + 1 我很赞同!
Zer0o + 1 + 1 我很赞同!
yycda + 1 + 1 我很赞同!
qq8945051 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
17638122331 + 1 + 1 我很赞同!
cn211211 + 1 + 1 热心回复!
theStyx + 2 + 1 谢谢@Thanks!
为之奈何? + 1 + 1 我很赞同!
daoye9988 + 1 + 1 谢谢@Thanks!
know1234 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

吉祥喵 发表于 2023-11-8 21:37
天龙八部是什么?
kellen 发表于 2023-11-8 19:17
这几天一直在纠结要不要玩私服,看到大佬的帖子,还是老老实实的去玩官服
kk96824 发表于 2023-11-8 19:49
bozai008 发表于 2023-11-8 18:16
厉害了我的哥
头像被屏蔽
hackerSQL 发表于 2023-11-8 18:53
提示: 作者被禁止或删除 内容自动屏蔽
mozardey 发表于 2023-11-8 19:11
前段时间还玩了天龙的私服,广告是真的多
cc1169 发表于 2023-11-8 19:46
传奇私服更多··
朱雀降世 发表于 2023-11-8 20:20
666666666666666666666
liulangdekaola 发表于 2023-11-8 21:33
厉害啊,真牛
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表