吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5270|回复: 6
上一主题 下一主题
收起左侧

[转载] Zero Access恶意软件分析

[复制链接]
跳转到指定楼层
楼主
sysksy 发表于 2015-4-26 17:13 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
0x00 前言

原文:http://resources.infosecinstitute.com/zero-access-malware/

木马Zero Access到目前为止已经在世界范围内感染了过亿的计算机,嗯,ZA(Zero Access)能够发展到这一个级别我想其中一个原因是因为恶意广告的点击,和泛滥的比特币挖掘。一旦ZA感染系统就会开始下载各种不同类型的恶意软件,总的来说无论是个人还是组织一旦遭受感染最后的损失肯定不会小。

ZA的传播媒介主要是 恶意邮件和 漏洞利用工具,同时也会通过分布式的p2p文件分享服务,或者是看起来像 游戏破解工具 和 注册机的软件来传播。ZA本身是有很多独特的地方,感染之后ZA会连接到一个基于p2p的僵尸网络,之后想要继续追踪是非常难得。

ZA本身使用了先进的隐藏机制来逃避,杀软和防火墙的检测和逃避。(省略一小段扯淡的话) 可执行文件通常在%TEMP%文件夹中,通过http请求与外部网站进行通信。

一旦ZA感染你的系统,会进行如下的操作:

  • 用你的sb系统进行点击诈骗和比特币挖掘。
  • 下载别的恶意软件....
  • 开启杀软逃逸功能
  • 提取计算机上的信息

0x01 分析

我们一开始进行的分析过程如下:

我们的第一步是隔离受感染的机器,然后对系统进行一次扫描,初次扫描我们没有发现任何东西,但是在第二次扫描的时候我们发现在workstation中的%TEMP%文件夹新建了一个文件。

在%SYSTEM%目录中我们又发现了另外一个可疑文件,这个似乎是某种配置文件,并且该文件处在ACL保护状态下。

文件在sandbox中执行的时候进行了网络操作。

文件名称为fvshis.sav,内容已加密。

在文件运行的过程中我们提取了内存中的字符串很明显的可以看到使用了Max++ dropper组件。

下一步我们很happy的分析了 dropper(用于恶意软件的安装)组件,咋一看这狗日的玩意好像没加壳,

然而之后的分析,我们发现这玩意是加过壳的,使用了一些复杂的自定义加壳器,还使用了几种不同的反debugging机制来鼓励我们友好的加班。

int 20指令是一种系统中断。

PS: 没样本,不过应该前几个写入了int 20,利用CPU会预读取指令的特点,干扰单步跟踪。如:

mov word ptr [@@],20cdh@@:nopnop

正常情况下CPU预读了2个nop,而不会执行INT 20(cd20),但单步跟踪下来就不同了。

就是说程序可以检测自己是否处于debugging状态并且kill自己。

ZA本身还有着多层的加密机制,和他坑爹的壳。

刚才说了现在分析的是dropper,相当于一种部署恶意软件的玩意,壳对其中的每一个段进行了加密,dropper运行的时候会一步一步进行解密,一次解密一个代码段,并且每个代码块都有INT 20(mlgb...),如果分析狗哪里一不小心多点了几下单步,那么进程崩溃。

在我们富有基情的努力下,最后还是完成了脱壳。之后我们就发现样本尝试访问位于计算机中的一些目录。

我们注意到的另一件事情,从使用int20我们可以看出,这玩意是一个运行在内核模式下的Ring0 rootkit,在分析了内存之后我们还发现恶意样本在内存中创建了一个互斥锁来检测计算机之前是否被同样的东西感染过。

另一个发现就是这玩意把自己注入到了ie (explorer.exe)进程中,并且利用ie来执行payload。

上面说了样本是运行在内核模式下,我们发现其实是将恶意软件作为一个内核模块安装。

ZA会将自己伪装成一个设备驱动程序B48DADF8.sys,我们将这个内核dump 下来进行进一步分析。

初步的分析中,ZA发出了一些可以的网络流量,初步判断是类似上线通知一样的东西,跟打剑灵的时候“好友xxxx上线”差不多。

同时发出了一下http请求到特定的域名

这玩意显然是想先建立连接,然后下载别的恶意程序。

之后我们分析了该域名,似乎是位于瑞士的苏黎世,嗯,瑞士这个国家的法律会在很大程度上保护他们公民的隐私,同时也导致了网络罪犯们很喜欢把自己的 C&C服务器托管在瑞士。

我们对域名进行了进一步的分析,发现该域名实际上预设到三个不同地方的ip,唯一的共同点就是当地的隐私保护做的很全面。

0x02 结语

我省略了一下类似安全建议的东西。

我们找到了三个ip

  • 141.8.225.62 (Switzerland)
  • 199.79.60.109 (Cayman Islands)
  • 208.91.196.109 (Cayman Islands)

虽然这玩意不窃取用户信息,不过他会产生大量的网络流量,进行点击诈骗和比特币挖掘。


发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

沙发
qa1368 发表于 2015-4-26 17:25
前排帮顶
3#
月光下の魔术师 发表于 2015-4-26 17:26
4#
Dimond 发表于 2015-4-26 21:20
5#
silfox 发表于 2015-5-7 18:00
乌云平台的,是楼主自测的嘛。。再看一次。
6#
小白菜 发表于 2015-5-12 16:52
月光下の魔术师 发表于 2015-4-26 17:26
膜拜技术帝,这是原创分析吗?

看图片就知道是乌云的了
7#
xiaomi1991 发表于 2016-4-8 11:03
支持楼主 学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 04:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表