吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14645|回复: 162
收起左侧

[PC样本分析] 木马病毒在网吧快速传播,隐蔽性极强

     关闭 [复制链接]
火绒安全实验室 发表于 2023-12-21 17:27
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-12-22 11:36 编辑

近期,火绒威胁情报系统监测到一款木马病毒正在网吧快速传播。该病毒被激活后,可接收并执行黑客下发的恶意模块,包括各种广告推广、DNS劫持、URL劫持、刷量控制、传奇登陆器劫持等。除此之外,该病毒还采用了多种对抗手段,隐蔽性极强。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。

Image-0.png
查杀图

  该病毒被运行后,会先从C&C服务器接收一个主加载器MainProShell.dll,然后将其注入到系统进程Explorer.exe中,以执行各种恶意操作。同时,该病毒还部署了一个看门狗模块(MainProcKeeper.dll),确保其持续在系统中活跃。该病毒执行流程,如下图所示:
Image-1.png
病毒执行流程

此外,火绒安全工程师在分析过程中发现一篇专利内容,描述的DNS劫持与本次分析的样本使用技术一致,相关专利信息,如下图所示:
Image-2.png
专利信息

在继续查看专利申请人的其他专利时,发现了一个名为“一种针对多个网吧或机房群控分发软件的方法”的专利信息,与本次分析的病毒样本运行模式极为相似。目前经该专利申请人自述,其与该病毒之间不存在直接的关联,相关专利信息,如下图所示:
   Image-3.png
专利信息

火绒安全工程师在此建议,网吧经营者需安装并定期更新杀毒软件,同时加强设备管理,及时修复安全漏洞,确保各台终端处于最新的安全防护状态。

  一、 样本分析


病毒启动之后,通过一个多阶段加载器机制在系统关键进程中部署恶意模块。首先,病毒从C&C服务器接收主加载器 MainProShell.dll。病毒将这个主加载器注入到系统进程 Explorer.exe 中。MainProShell.dll 是次加载器,主要负责将 gox64.dll(payload)随机注入到其他的系统进程以执行恶意操作。同时,病毒还部署了 MainProcKeeper.dll,这是一个看门狗模块,被注入到winlogon.exe。其主要职责是监控 MainProShell.dll 的运行状态,确保它在系统中持续活跃。防止 MainProShell.dll 遭遇注入失败或运行中断,MainProcKeeper.dll 会将MainProShell.dll重新注入到explorer进程中,这大大增加了恶意软件的持久性。这种复杂的注入策略,不仅提高了病毒的隐蔽性,同时也使其更加抗干扰,难以被杀毒软件侦测和清除。从C&C服务器接收恶意模块MainProShell.dll并注入到explorer进程中的相关代码,如下图所示:
Image-4.png
注入MainProShell.dll模块

将看门狗模块从资源中读出并注入到winlogon中执行 ,相关代码,如下图所示:
Image-5.png
注入看门狗模块


MainProShell.dll模块中会创建一个互斥体,如果MainProShell.dll没有运行,互斥体就会失效,所以在看门狗模块中会循环判断互斥体是否存在,如果不存在就将MainProShell.dll重新注入到explorer进程中,相关代码,如下图所示:

Image-6.png
看门狗


第二加载器阶段,MainProShell.dll会从将gox64.dll从资源节区中取出,并注入到随机的系统进程中,相关代码,如下图所示:

Image-7.png

注入gox64.dll模块

在恶意模块gox64.dll中,会请求C&C服务器配置信息,根据配置信息来下载执行各种恶意模块,如:URL劫持、DNS劫持、广告推广、刷量控制、传奇登陆器劫持、反调试等恶意模块。除此之外,该模块还具备多种对抗手段,如反虚拟机,检测杀毒软件,通过hook系统API来隐藏真实的域名信息等。反虚拟机会通过GetSystemFirmwareTable函数来检测是否在虚拟机中,相关代码,如下图所示:
Image-8.png
检测虚拟机

代码还会检测用户电脑中是否存在杀毒软件,相关代码,如下图所示:
Image-9.png
检测是否存在杀毒软件


通过HOOK 网络相关API来隐藏真实的域名,HOOK之后,调用该函数时传入无效的域名,但是在内部HOOK代码处修改域名为正常域名,HOOK相关代码,如下图所示:

Image-10.png
hook网络相关API

以InternetOpenUrlW函数为例,HOOK之后,在HOOK函数内部会修改无效的域名为正常域名,相关代码,如下图所示 :


Image-11.png
InternetOpenUrlW HOOK代码


C&C服务器接收执行恶意模块,相关代码,如下图所示:
Image-12.png

接收执行C&C服务器下发恶意模块解密后的配置信息中有数十个模块,部分配置信息,如下图所示:
Image-13.png
恶意模块配置信息

火绒安全工程师获取到的部分恶意模块列表,如下图所示:
Image-14.png
部分恶意模块列表

内存加载C&C服务器下发的恶意模块,相关代码,如下图所示:
Image-15.png
内存加载恶意模块


恶意模块分析

由于病毒的恶意模块数量众多,以下仅挑选有代表性的恶意模块进行详细分析。


桌面图标广告推广模块


该模块负责向用户电脑桌面中添加广告,模块被加载后,会先从C&C服务器获取配置信息,再根据配置信息来创建推广的图标,获取配置信息,相关代码,如下图所示:

Image-16.png
获取配置信息

获取到的配置信息,如下图所示:
Image-17.png
配置信息

获取到配置信息之后,该模块就会根据配置信息在桌面创建推广的广告图标,相关代码,如下图所示:
Image-18.png
创建桌面广告图标

创建的桌面图标,如下图所示:
Image-19.png
创建的桌面图标


浏览器书签广告推广模块


该模块的功能是向用户浏览器书签中添加广告,模块被加载后,会先从C&C服务器获取配置信息,再根据配置信息来向用户浏览器书签中添加广告。从C&C服务器获取配置信息,相关代码,如下图所示:
Image-20.png
C&C服务器获取配置信息获取到的配置信息,如下图所示:
Image-21.png

获取到的配置信息

获取到配置信息之后,再根据配置信息来向相关浏览器中添加书签广告,相关代码,如下图所示:
Image-22.png
向浏览器添加书签广告

被添加书签广告之后的浏览器,如下图所示:
Image-23.png
被添加书签广告之后的浏览器


刷量控制模块


该模块的功能是根据C&C服务器的配置信息,对指定的URL访问进行刷访问量,模块启动之后,会先从C&C服务器获取要刷流量的URL,相关代码,如下图所示:

Image-24.png
C&C服务器获取配置信息

获取到的配置信息,如下图所示:
Image-25.png
配置信息


将接收到要刷量的URL组成html代码,在后台进行刷量,相关代码,如下图所示:
Image-26.png
html代码

通过fiddler抓包工具可以监控到流量数据,如下图所示:

Image-27.png
fiddler流量监控


DNS劫持模块

DNS劫持模块启动之后,首先获取DNS缓存服务的pid,然后将劫持模块注入到DNS缓存服务中,相关代码,如下图所示:
Image-28.png
将劫持模块注入到DNS缓存服务中


在注入的劫持模块中,通过HOOK WSARecvMsg函数来监控和修改系统中所有DNS请求,HOOK相关代码,如下图所示:
Image-29.png
HOOK WSARecvMsg函数

HOOK WSARecvMsg函数中对DNS请求进行劫持,相关代码,如下图所示:
Image-30.png
DNS劫持


URL劫持模块
URL劫持模块启动后,会先从C&C服务器获取劫持相关的配置信息,相关代码,如下图所示:
Image-31.png
获取劫持相关的配置信息

获取到的部分配置信息,如下图所示:

Image-32.png
获取到的部分配置信息


获取到劫持相关的配置信息之后,会将URL劫持相关的模块,注入到浏览器进程进行劫持,相关代码,如下图所示:
Image-33.png
注入劫持模块


传奇登陆器劫持模块
该模块主要负责劫持用户电脑中的传奇登陆器,来推广指定的传奇。模块启动之后,会先从C&C服务器中获取相关配置文件,再根据配置文件进行检测,如果存在指定的传奇客户端就进行劫持。获取配置信息相关代码,如下图所示:
Image-34.png
获取配置信息代码

由于安全工程师在调试的过程中并未获取到相关配置信息,无法进行动态调试。以下是分析人员通过对恶意文件的静态分析的结果,分析发现配置信息中存在几个字段:icomd5,filemd5等字段 ,病毒通过这几个字段信息来确定要劫持的登陆器,以icomd5为例,模块会遍历系统中的进程并计算图标文件的MD5值来判断是否为劫持的登陆器,计算图标MD5相关代码,如下图所示:
Image-35.png
计算图标md5

确认是要劫持的登陆器之后,会将劫持模块注入到目标进程中,相关代码,如下图所示:
Image-36.png
注入劫持模块

在劫持模块中会对ShowWindow 函数进行HOOK,相关代码,如下图所示:
Image-37.png
HOOK ShowWindow

在HookShowWindow中,会创建一个新的窗口来代替代替原窗口,相关代码,如下图所示:
Image-38.png
劫持登陆器界面


反调试模块


反调试模块启动后,会通过枚举Windows窗口的类名和标题来检测是否存在特定的调试软件,相关代码,如下图所示:
Image-39.png
检测用户电脑中的软件会检查的窗口标题和类名列表,如下图所示:

Image-40.png
会检查的窗口标题和类名列表

二、附录

C&C:
Image-41.png   
HASH:

Image-42.png   

免费评分

参与人数 81吾爱币 +77 热心值 +73 收起 理由
CRAflysnow1213 + 1 + 1 谢谢@Thanks!
LXHYST + 1 热心回复!
luangfang + 1 我很赞同!
小奈奈 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
eepp + 1 + 1 热心回复!
weidechan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
zxc145827 + 1 + 1 用心讨论,共获提升!
专属曲丶 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Tisfy + 1 热心回复!
wocuole + 1 + 1 谢谢@Thanks!
candy_yzq + 1 + 1 吾爱破解论坛有你更精彩!
cqszqinyu + 1 + 1 鼓励转贴优秀软件安全工具和文档!
aaazusa + 1 用心讨论,共获提升!
欺负老实人么 + 1 + 1 我很赞同!
黑丝短裙 + 1 我很赞同!
ojunyan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sll_1988 + 1 + 1 热心回复!
吾爱春秋 + 1 + 1 谢谢@Thanks!
E147852 + 1 + 1 我很赞同!
503514256 + 1 + 1 热心回复!
啵啵茶 + 1 + 1 用心讨论,共获提升!
abc023119 + 1 谢谢@Thanks!
liuxincai + 1 + 1 热心回复!
WinterSolstice + 1 热心回复!
dadao815 + 1 + 1 用心讨论,共获提升!
可曾 + 1 + 1 用心讨论,共获提升!
Golive180 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
cuit_zx + 1 + 1 热心回复!
My13 + 1 + 1 我很赞同!
1equal100 + 1 用心讨论,共获提升!
浪漫前奏 + 1 + 1 用心讨论,共获提升!
owenfan + 1 + 1 谢谢@Thanks!
vesdes + 1 + 1 谢谢@Thanks!
imGz + 1 + 1 热心回复!
phxhill + 1 + 1 谢谢@Thanks!
baohe + 1 热心回复!
a948423110 + 1 + 1 热心回复!
colect + 1 + 1 热心回复!
lmlang + 1 + 1 谢谢@Thanks!
ming2008 + 1 + 1 用过火绒 再也不想用360
Icesnow + 1 + 1 热心回复!
wodes + 1 + 1 我很赞同!
Icicle丶凌 + 1 + 1 热心回复!
MNB12345 + 1 我很赞同!
深井滨 + 1 热心回复!
fenchenshaozhu8 + 1 + 1 用心讨论,共获提升!
fenchenshaozhu6 + 1 + 1 用心讨论,共获提升!“加鸡腿🍗”
kuyuan + 1 热心回复!
timeni + 1 + 1 用心讨论,共获提升!
北冥鱼 + 1 + 1 我很赞同!
lalicorne + 1 我很赞同!
kezhan + 1 + 1 鼓励转贴优秀软件安全工具和文档!
13668377258 + 1 + 1 我很赞同!
aabbcc123123 + 1 + 1 谢谢@Thanks!
kirinobot + 1 + 1 谢谢@Thanks!
无影雪莲 + 1 说实话我以为网吧早已绝迹了
残夕若此 + 1 火绒加油! 用了8年火绒了,稳
ms2019 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
yp17792351859 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
705 + 1 + 1 我很赞同!
树袋熊睡醒了 + 1 + 1 谢谢@Thanks!
李佑辰 + 2 + 1 我很赞同!
年轻真是可怕 + 1 + 1 热心回复!
theStyx + 2 + 1 用心讨论,共获提升!
RickSanchez + 1 + 1 我很赞同!
erzi + 1 + 1 我很赞同!
dajiaoshixixi + 1 + 1 用心讨论,共获提升!
R0z + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
story2016 + 1 + 1 用心讨论,共获提升!
赤〆夜 + 1 + 1 用心讨论,共获提升!
zx2000 + 1 + 1 我很赞同!
Scolen + 1 + 1 我很赞同!
qqycra + 2 + 1 用心讨论,共获提升!
980104 + 1 + 1 我很赞同!
Bob5230 + 1 + 1 我很赞同!
mmffddyy + 1 + 1 我很赞同!
zhaoshaowei + 1 + 1 热心回复!
liangjinwuxin + 1 + 1 我很赞同!
LZC13807614037 + 1 + 1 谢谢@Thanks!
难为阿! + 1 + 1 用心讨论,共获提升!
魔道书生 + 2 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

q5991786 发表于 2023-12-22 07:42
发这些有什么用,网吧技术去广告 找源头大家都会 为何屡禁不止呢,源头在上面 人家软件一年好几次更新 都是哪些软件下发的大家都知道 奈何我过法律就这个样子 作为安全头部公司 应该多推动网络安全法律健全 就这些行为分析有什么用 拿出来也不能去告谁

免费评分

参与人数 4吾爱币 -3 热心值 +2 收起 理由
shl2015 -2 没必要这样,只是分享,你怎么知道没有做这方面努力呢?
arryboom -2 如果连吹哨人都没有了,法律更没有用。
jamescookers988 + 1 热心回复!
grrr_zhao + 1 + 1 谢谢@Thanks!

查看全部评分

voxmax 发表于 2023-12-22 08:39
曾经招聘过网吧过来的网络管理员,他们大多数都自己装病毒接单子,这种事情没办法
huangchaojun 发表于 2023-12-21 19:15
syz17213 发表于 2023-12-21 18:56
厉害了,学习学习
topweal 发表于 2023-12-21 17:57
真厉害,立马卸载了360装上火绒
凌帝。 发表于 2023-12-21 17:40
一直用火绒。就是有些广告啥的查不到很头疼
paulxiaozi 发表于 2023-12-21 17:47
火绒牛逼~
落红护花 发表于 2023-12-21 18:08
每次看到火绒出来就学习到很多独特的分析方法
头像被屏蔽
hackerSQL 发表于 2023-12-21 18:26
提示: 作者被禁止或删除 内容自动屏蔽
liangjinwuxin 发表于 2023-12-21 19:02
看到火绒的解析,真的是太细致了。学到了学到了

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
jamescookers988 + 1 + 1 我很赞同!

查看全部评分

Cribug666 发表于 2023-12-21 19:16
厉害还得是火绒

免费评分

参与人数 1吾爱币 +3 热心值 +1 收起 理由
jamescookers988 + 3 + 1 热心回复!

查看全部评分

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 04:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表