吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5662|回复: 67
收起左侧

[PC样本分析] 新Rootkit病毒利用“天龙八部”进行传播

   关闭 [复制链接]
火绒安全实验室 发表于 2023-11-22 17:58
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

近期,火绒威胁情报系统监测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒被激活后,会将用户重定向到恶意网站,并允许黑客进行信息收集和数据篡改等恶意活动。除此之外,该病毒还采用了多种对抗手段,对用户构成较大的安全威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
Image-0.png
病毒查杀图 该病毒采用字符串加密和删除杀毒软件驱动等多种对抗手段,对抗杀毒软件的查杀,通过URL劫持、DNS劫持和IP重定向等方式来劫持用户的流量。当用户访问与“天龙八部”相关的网页时,就会被重定向到指定的私服网站。该病毒执行流程,如下图所示:
Image-1.png
病毒执行流程图
火绒工程师分析发现,《Rootkit病毒利用“天龙八部”私服传播,可劫持网页》报告中的Rootkit病毒会禁止此次Rootkit病毒的驱动签名,可见黑客团伙非常活跃,不排除后续持续作恶的可能,请广大用户时刻保持警惕。
一、样本分析

初始化阶段携带病毒的天龙八部私服启动后,会释放并启动该Rootkit病毒,当时应用火绒剑监控到的行为,如下图所示:
Image-2.png
火绒剑监控到的行为
通过查看该Rootkit病毒的驱动签名,在火绒上一篇报告《Rootkit病毒利用“天龙八部”私服传播,可劫持网页》中的Rootkit病毒会禁止驱动签名为:“Fuqing Yuntan Network Tech Co.,Ltd. “的驱动,该驱动签名正是此次Rootkit病毒的签名,相关签名信息,如下图所示:
Image-3.png
此次Rootkit病毒的驱动签名
Rootkti病毒启动后,会先进行初始化操作如:初始化WFP网络过滤框架,如果之前有获取过C&C配置会重新从注册表中读取出来,相关代码,如下图所示:

Image-4.png 之后会从C&C服务器中更新相关配置文件,并将配置信息保存到注册表中,后续执行恶意功能时,Rootkit病毒会根据对应链表中的配置信息来确定执行的具体行为和方式,相关代码,如下图所示:

Image-5.png
从C&C服务器接收配置信息
获取到部分配置信息,如下图所示:

Image-6.png
配置信息混淆&对抗Rootkit病毒采用VMProtect加密壳进行混淆,并对所有使用的字符串进行加密,以规避杀毒软件的特征匹配查杀。在实际运行时,它才会解密这些字符串。相关代码,如下所示:
Image-7.png
字符串加密
该Rootkit病毒还会删除某杀毒软件的驱动启动项,来阻止杀毒软件驱动的加载,相关代码,如下图所示:
Image-8.png
删除杀毒软件驱动启动项
该病毒会通过注册表回调来拦截指定签名的驱动程序。在注册表回调中会拦截RegNtSetValueKey(设置注册表值)的操作,如果发现正在添加驱动注册表项,会检测对应文件的签名,如果是指定的签名就会进行拦截,相关代码,如下图所示:
Image-9.png
注册表回调
不仅在注册表回调中会对指定驱动进行拦截,在模块加载回调中也会进行检查并拦截指定驱动程序,相关代码,如下图所示:
Image-10.png
模块加载回调
该病毒会添加关机回调,在关机回调函数中会执行一些恶意行为如:重新添加驱动注册表项、删除所有要拦截驱动的注册表项等,相关代码,如下图所示:
Image-11.png
关机回调 为了防止关机回调和自身注册表项被删除,还会创建一个单独的线程循环进行检查,如果被删除了就会重新添加一个,相关代码,如下图所示:
Image-12.png
看门狗线程 该病毒还会根据配置信息修改系统hosts文件来屏蔽其他天龙八部私服网站,根据配置信息修改hosts文件,如下图所示:
Image-13.png
根据配置信息修改hosts
修改之后的hosts中会屏蔽大多数私服网站,如下图所示:
Image-14.png
修改后的hosts
流量劫持Rootkit病毒使用WFP框架来进行对用户流量劫持,主要通过三种方式来劫持用户的流量,如下所示:
URL劫持在WFP过滤框架的 FWPM_LAYER_STREAM_V4 过滤层中进行URL劫持,会对访问的URL进行判断,如果需要劫持,该Rootkit病毒就会修改收到的服务器响应数据包,将其转变为一个HTTP 302重定向响应数据包。此举能有效实现目标URL的劫持。具体的实现代码如下所示:
Image-15.png
URL劫持相关代码
DNS劫持在WFP的FWPM_LAYER_DATAGRAM_DATA_V4过滤层中进行DNS劫持,DNS劫持是一种网络攻击,攻击者通过修改DNS服务器的设置或者在用户设备上修改DNS设置,使得用户在访问某个网站时被重定向到攻击者控制的服务器,DNS劫持可被用于钓鱼攻击、广告注入、分发恶意软件等,相关代码,如下图所示:
Image-16.png
DNS劫持相关代码 IP重定向在WFP过滤框架的FWPM_LAYER_ALE_CONNECT_REDIRECT_V4过滤层中进行IP重定向,IP重定向可被用于中间人攻击、网络钓鱼攻击等风险,IP重定向相关代码,如下图所示:
Image-17.png
IP重定向代码二、附录C&C
Image-18.png HASH

      Image-19.png

免费评分

参与人数 13吾爱币 +13 热心值 +13 收起 理由
Wikzo + 1 + 1 我很赞同!
mmffddyy + 1 + 1 谢谢@Thanks!
wodes + 1 + 1 鼓励转贴优秀软件安全工具和文档!
soughing + 1 + 1 我很赞同!
liangt + 1 + 1 鼓励转贴优秀软件安全工具和文档!
yp17792351859 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
gongxiaowei + 1 + 1 谢谢@Thanks!
tomhex + 1 + 1 谢谢@Thanks!
weidechan + 1 + 1 用心讨论,共获提升!
Huluobu123 + 1 + 1 谢谢@Thanks!
obitosec + 1 + 1 我很赞同!
AxFzb + 1 + 1 谢谢@Thanks!
Kanchow + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

liuliziyo 发表于 2023-11-22 20:26
就是说利用修改DNS来重定向大部分私服网站到自己的网站来引流的一个rootkit?
确实有这样做的可能,但是这样不也暴露了是谁在开发或组织这次攻击了么?
qqycra 发表于 2023-11-22 19:18
平时上网规规矩矩的,不要乱点乱上,陌生可执行文件运行行,定期打系统和软件补丁,不随便插usb,不外联陌生wifi和其他网络,yellow网站也不要上
jefel 发表于 2023-11-22 18:05
半瓶神仙醋 发表于 2023-11-22 18:07
遥遥领先
ZKLM 发表于 2023-11-22 18:17
多谢楼主分享,这些病毒的传播真的是防不胜防啊
雨倾、风止 发表于 2023-11-22 18:20
还好最近没玩过私服天龙八部啊,都是几年前玩的。
战歌酒吧 发表于 2023-11-22 18:42
好像国内有一些同人游戏好像也有类似问题。可能有人在贴吧故意发的。感谢火绒第一时间通知我们。
xyer8 发表于 2023-11-22 18:47
多谢楼主分享
byok 发表于 2023-11-22 18:59
多谢楼主分享
qqycra 发表于 2023-11-22 19:19
哎,要是真是做到刚才我说的那些,是不是少了很多乐趣啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:50

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表