hook007新变种分析及溯源

Hyabcd · 发表于 2016-1-26 11:24

本帖最后由 Hyabcd 于 2016-5-15 21:12 编辑

一、样本信息
文件名称：装备.com
MD5:946a38e6327193c3cce9763189057ee4
SHA-1：030cab5a2cd14e796c7e93e79094eccdc0b4515c
大小：270KB

文件名称：Release.dll
MD5：84280f53d4c40f5f02709b39bef5f56f
SHA-1：fca3b7b16afc8cdc23cc58caaa6c99174abd16b9
大小：227KB

二、样本简介及实现原理
该样本最早出现在2015年末，样本沿袭hook007家族的一贯作风，对自身的隐藏下了十足的功夫。相比较前几个版本的隐藏方式，该版本的木马结合了前几个版本隐藏方式中比较出彩的几个部分，包括利用伪装的图片引诱用户点击，实际上该图片是个快捷方式，用于触发木马程序；将主要功能存放在dll中，dll使用动态加载的方式，直接写入内存执行，而非调用LoadLibrary函数进行加载，而且dll文件进行了代码混淆，分块加载进内存，因此无法直接对dll文件进行逆向分析。木马主体功能丰富，不仅有一般的windows功能执行，还调用com组件进行快捷方式的操作。总而言之，该hook007变种是hook007家族极具代表性的一个木马变种。下图表示木马的隐藏方式，其中灰色图标标识被设置为隐藏属性和系统文件属性的文件图标，用于隐藏关键部分。

三、样本具体分析
（1）主程序“装备.com”通过CreateFileA函数，设置参数Mode为OPEN_EXIST,打开已存在的文件“release.dll”，从而执行木马主要功能。如下图所示。

（2）主程序使用动态加载的方式将dll中的部分代码加载进内存执行，这样做可以防止杀软发现完整的含有恶意功能的dll文件，通过分块加载执行的方式躲避杀软检测，代码如下。

[Asm] 纯文本查看 复制代码

1 2	`0040C343 F3:A5` `rep` `movs` `dword` `ptr` `es:[edi],dword` `ptr` `ds>` `0040C345 FF2495 58C44000` `jmp` `dword` `ptr` `ds:[edx*4+0x40C458]` `; 装备.0040C468`

（3）进入dll中发现，dll加了upx壳，跑完壳程序后程序进行一些地址分配工作，又返回主程序中，然后从主程序中再度进入dll中，这样分次执行的目的也是为了躲避杀软检测。进入dll中，程序先对附带的附件类型进行辨认，本样本中所附带的是jpg类型的图片文件。辨认附件类型代码如下所示。

[Asm] 纯文本查看 复制代码

1

2

3

4

5

6

1001391A    833D BCA20A10 0>cmp dword ptr ds:[0x100AA2BC],0x2
10013921    75 15           jnz short 10013938
10013923    68 34940910     push 0x10099434                          ; ASCII ".jpg";进行附件类型辨别，在此处为jpg格式
10013928    8D85 ECFAFFFF   lea eax,dword ptr ss:[ebp-0x514]
1001392E    50              push eax
1001392F    FF15 6C740810   call dword ptr ds:[0x1008746C]           ; user32.wsprintfA

（4）获取系统特殊路径，在系统路径中创建文件夹，用于将本体拷贝到相应路径中。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

100139F3    51              push ecx
100139F4    6A 00           push 0x0
100139F6    FF15 28740810   call dword ptr ds:[0x10087428]           ; shell32.SHGetSpecialFolderPathA;获取路径C:\Documents andSettings\Administrator\Application Data
100139FC    68 84A10A10     push 0x100AA184                          ; ASCII "72f7b50a76aa89826d9a2d5d3e9bbb56"
10013A01    8D95 F8FDFFFF   lea edx,dword ptr ss:[ebp-0x208]
10013A07    52              push edx
10013A08    68 64940910     push 0x10099464                          ; ASCII "%s\%s"
10013A0D    8D85 F4FCFFFF   lea eax,dword ptr ss:[ebp-0x30C]
10013A13    50              push eax
10013A14    FF15 6C740810   call dword ptr ds:[0x1008746C]           ; user32.wsprintfA
10013A1A    83C4 10         add esp,0x10
10013A1D    6A 00           push 0x0
10013A1F    8D8D F4FCFFFF   lea ecx,dword ptr ss:[ebp-0x30C]
10013A25    51              push ecx
10013A26    FF15 A8710810   call dword ptr ds:[0x100871A8]           ; kernel32.CreateDirectoryA;在改路径下创建目录 C:\Documents and Settings\Administrator\Application Data\72f7b50a76aa89826d9a2d5d3e9bbb56

（5）检测杀软相关进程是否存在，如果不存在则跳过快捷方式操作的模块，不过程序没有执行对杀软进程的结束操作，这也是hook007家族木马的一个特点。代码如下所示。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

1001242B    55              push ebp
1001242C    8BEC            mov ebp,esp
1001242E    68 74910910     push 0x10099174                          ; ASCII "360Tray.exe"
10012433    E8 54FFFFFF     call 1001238C
10012438    83C4 04         add esp,0x4
1001243B    83F8 01         cmp eax,0x1
1001243E    75 07           jnz short 10012447
10012440    B8 01000000     mov eax,0x1
10012445    EB 66           jmp short 100124AD
10012447    68 80910910     push 0x10099180                          ; ASCII "360tray.exe"
1001244C    E8 3BFFFFFF     call 1001238C
10012451    83C4 04         add esp,0x4
10012454    83F8 01         cmp eax,0x1
10012457    75 07           jnz short 10012460
10012459    B8 01000000     mov eax,0x1
1001245E    EB 4D           jmp short 100124AD
10012460    68 8C910910     push 0x1009918C                          ; ASCII "ZhuDongFangYu.exe"
10012465    E8 22FFFFFF     call 1001238C

（6）开启多个线程，线程函数地址相同，但是参数不同，作用用于检测桌面上是否存在相关的快捷方式。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

10013BD2    FF15 0C710810   call dword ptr ds:[0x1008710C]           ; kernel32.CreateThread
10013BD8    6A 00           push 0x0
10013BDA    6A 00           push 0x0
10013BDC    8D85 D0F4FFFF   lea eax,dword ptr ss:[ebp-0xB30]
10013BE2    50              push eax;启动线程参数各不相同
10013BE3    68 972A0110     push 0x10012A97
10013BE8    6A 00           push 0x0
10013BEA    6A 00           push 0x0
10013BEC    FF15 0C710810   call dword ptr ds:[0x1008710C]           ; kernel32.CreateThread; 线程函数地址均为10012A97
10013BF2    6A 00           push 0x0
10013BF4    6A 00           push 0x0
10013BF6    8D8D B8EEFFFF   lea ecx,dword ptr ss:[ebp-0x1148]
10013BFC    51              push ecx                                 ; 
10013BFD    68 972A0110     push 0x10012A97
10013C02    6A 00           push 0x0
10013C04    6A 00           push 0x0
10013C06    FF15 0C710810   call dword ptr ds:[0x1008710C]           ; kernel32.CreateThread

在线程中检测桌面路径下是否有相应快捷方式存在，如果存在，则将快捷方式属性设为系统文件和隐藏文件。代码如下。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

10012A97    55              push ebp
10012A98    8BEC            mov ebp,esp
10012A9A    8B45 08         mov eax,dword ptr ss:[ebp+0x8]
10012A9D    50              push eax
10012A9E    FF15 30740810   call dword ptr ds:[0x10087430]           ; shlwapi.PathFileExistsA;判断相应快捷方式是否存在
10012AA4    85C0            test eax,eax
10012AA6    74 22           je short 10012ACA
10012AA8    B9 01000000     mov ecx,0x1
10012AAD    85C9            test ecx,ecx
10012AAF    74 19           je short 10012ACA
10012AB1    6A 06           push 0x6
10012AB3    8B55 08         mov edx,dword ptr ss:[ebp+0x8]
10012AB6    52              push edx                                 ; ntdll.KiFastSystemCallRet
10012AB7    FF15 0C720810   call dword ptr ds:[0x1008720C]           ; kernel32.SetFileAttributesA;若存在则把属性设为HIDDEN|SYSTEM

紧接着程序创建一个com实例用于进行快捷方式操作。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

100126D0    6A 00           push 0x0
100126D2    FF15 E8750810   call dword ptr ds:[0x100875E8]           ; ole32.CoInitialize;初始化com组件
100126D8    F7D8            neg eax
100126DA    1BC0            sbb eax,eax
100126DC    40              inc eax
100126DD    8845 F8         mov byte ptr ss:[ebp-0x8],al
100126E0    8B4D F8         mov ecx,dword ptr ss:[ebp-0x8]
100126E3    81E1 FF000000   and ecx,0xFF
100126E9    85C9            test ecx,ecx                             ; ole32.76AB67F0
100126EB    0F84 BE000000   je 100127AF
100126F1    8D55 FC         lea edx,dword ptr ss:[ebp-0x4]
100126F4    52              push edx                                 ; ole32.76AB67F0
100126F5    68 683E0910     push 0x10093E68
100126FA    6A 01           push 0x1
100126FC    6A 00           push 0x0
100126FE    68 783E0910     push 0x10093E78
10012703    FF15 E4750810   call dword ptr ds:[0x100875E4]           ; ole32.CoCreateInstance;创建com实例

程序先将原腾讯qq快捷方式设为隐藏特性，然后通过com组件创建一个伪造的qq快捷方式。快捷方式操作流程如下图所示。

此举将桌面上qq的快捷方式隐藏，伪造一个快捷方式指向木马衍生体，当用户误以为该快捷方式为qq快捷方式并双击时，就会运行木马衍生体，通过对衍生体的分析发现，衍生体的功能和主体基本一致，当用户点击qq快捷方式时也会遭到远控。修改后快捷方式效果如下所示。

同理，程序如果发现YY语音等软件也会执行相同操作。
（7）查找工作空间窗口"Progman","SHELLDLL_DefView","SysListView32",该窗口为“我的电脑”主操作界面对应窗口，并对该窗口发送键盘点击消息，点击的为“f5",也就是刷新，此举是为了通过刷新清除相关文件移动痕迹。代码如下所示。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

10013F77    C705 988C0910 0>mov dword ptr ds:[0x10098C98],0x1
10013F81    FF15 AC740810   call dword ptr ds:[0x100874AC]           ; user32.GetDesktopWindow
10013F87    8985 E4F9FFFF   mov dword ptr ss:[ebp-0x61C],eax
10013F8D    6A 00           push 0x0
10013F8F    68 F8950910     push 0x100995F8                          ; ASCII "Progman"
10013F94    6A 00           push 0x0
10013F96    8B8D E4F9FFFF   mov ecx,dword ptr ss:[ebp-0x61C]
10013F9C    51              push ecx
10013F9D    FF15 9C740810   call dword ptr ds:[0x1008749C]           ; user32.FindWindowExA
10013FA3    8985 E4F9FFFF   mov dword ptr ss:[ebp-0x61C],eax
10013FA9    6A 00           push 0x0
10013FAB    68 00960910     push 0x10099600                          ; ASCII "SHELLDLL_DefView"
10013FB0    6A 00           push 0x0
10013FB2    8B95 E4F9FFFF   mov edx,dword ptr ss:[ebp-0x61C]
10013FB8    52              push edx                                 ; ntdll.KiFastSystemCallRet
10013FB9    FF15 9C740810   call dword ptr ds:[0x1008749C]           ; user32.FindWindowExA

（8）打开图片，以满足点击伪造jpg文件打开图片的合理性。

（9）通过字符串解密操作解密出上线地址。代码如下所示。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

10010F7E    55              push ebp
10010F7F    8BEC            mov ebp,esp
10010F81    83EC 0C         sub esp,0xC
10010F84    C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
10010F8B    8D45 FC         lea eax,dword ptr ss:[ebp-0x4]
10010F8E    50              push eax
10010F8F    8B4D 08         mov ecx,dword ptr ss:[ebp+0x8]
10010F92    51              push ecx
10010F93    E8 C8FDFFFF     call 10010D60
10010F98    83C4 08         add esp,0x8
10010F9B    8945 F4         mov dword ptr ss:[ebp-0xC],eax
10010F9E    C745 F8 0000000>mov dword ptr ss:[ebp-0x8],0x0
10010FA5    EB 09           jmp short 10010FB0
10010FA7    8B55 F8         mov edx,dword ptr ss:[ebp-0x8]
10010FAA    83C2 01         add edx,0x1
10010FAD    8955 F8         mov dword ptr ss:[ebp-0x8],edx           ; mfc42.73E0E578
10010FB0    8B45 F8         mov eax,dword ptr ss:[ebp-0x8]
10010FB3    3B45 F4         cmp eax,dword ptr ss:[ebp-0xC]
10010FB6    7D 28           jge short 10010FE0
10010FB8    8B4D FC         mov ecx,dword ptr ss:[ebp-0x4]
10010FBB    034D F8         add ecx,dword ptr ss:[ebp-0x8]
10010FBE    8A11            mov dl,byte ptr ds:[ecx]
10010FC0    80EA 7B         sub dl,0x7B
10010FC3    8B45 FC         mov eax,dword ptr ss:[ebp-0x4]
10010FC6    0345 F8         add eax,dword ptr ss:[ebp-0x8]
10010FC9    8810            mov byte ptr ds:[eax],dl
10010FCB    8B4D FC         mov ecx,dword ptr ss:[ebp-0x4]
10010FCE    034D F8         add ecx,dword ptr ss:[ebp-0x8]
10010FD1    8A11            mov dl,byte ptr ds:[ecx]
10010FD3    80F2 C8         xor dl,0xC8
10010FD6    8B45 FC         mov eax,dword ptr ss:[ebp-0x4]
10010FD9    0345 F8         add eax,dword ptr ss:[ebp-0x8]
10010FDC    8810            mov byte ptr ds:[eax],dl
10010FDE  ^ EB C7           jmp short 10010FA7
10010FE0    8B45 FC         mov eax,dword ptr ss:[ebp-0x4]
10010FE3    8BE5            mov esp,ebp
10010FE5    5D              pop ebp                                  ; 001197DC
10010FE6    C3              retn

上线地址如下所示。

（10）创建互斥体判断是否只存在一个进程。

[Asm] 纯文本查看 复制代码

1

2

3

4

5

6

7

8

100130EC    68 3CA20A10     push 0x100AA23C                          ; ASCII "KysrYXR4eHZ3dnZ6eHlhJiIgbXd4dkM="
100130F1    6A 00           push 0x0
100130F3    6A 00           push 0x0
100130F5    FF15 5C720810   call dword ptr ds:[0x1008725C]           ; kernel32.CreateMutexA
100130FB    A3 38A20A10     mov dword ptr ds:[0x100AA238],eax
10013100    833D 38A20A10 0>cmp dword ptr ds:[0x100AA238],0x0
10013107    74 15           je short 1001311E
10013109    FF15 A4710810   call dword ptr ds:[0x100871A4]           ; ntdll.RtlGetLastWin32Error

获取错误值并判断是否为B7，B7十进制为183，对应如下。

（11）设置窗口站，将进程窗口站设为当前窗口站，保证正常的屏幕监控，并通过SetErrorMode设置为不显示错误信息对话框。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

1001311E    FF15 90740810   call dword ptr ds:[0x10087490]           ; user32.GetProcessWindowStation
10013124    8945 B0         mov dword ptr ss:[ebp-0x50],eax
10013127    68 00000002     push 0x2000000
1001312C    6A 00           push 0x0
1001312E    68 F4930910     push 0x100993F4                          ; ASCII "winsta0"
10013133    FF15 94740810   call dword ptr ds:[0x10087494]           ; user32.OpenWindowStationA
10013139    8945 B4         mov dword ptr ss:[ebp-0x4C],eax
1001313C    837D B4 00      cmp dword ptr ss:[ebp-0x4C],0x0
10013140    74 0A           je short 1001314C
10013142    8B4D B4         mov ecx,dword ptr ss:[ebp-0x4C]
10013145    51              push ecx
10013146    FF15 98740810   call dword ptr ds:[0x10087498]           ; user32.SetProcessWindowStation
1001314C    6A 01           push 0x1
1001314E    FF15 58720810   call dword ptr ds:[0x10087258]           ; kernel32.SetErrorMode
10013154    C785 18FFFFFF 0>mov dword ptr ss:[ebp-0xE8],0x0
1001315E    C785 1CFFFFFF 5>mov dword ptr ss:[ebp-0xE4],0x50
10013168    6A 01           push 0x1
1001316A    FF15 58720810   call dword ptr ds:[0x10087258]           ; kernel32.SetErrorMode

（11）木马通过socket上线

[Asm] 纯文本查看 复制代码

1

2

3

10003C0A    51              push ecx
10003C0B    68 02020000     push 0x202
10003C10    FF15 6C750810   call dword ptr ds:[0x1008756C]           ; ws2_32.WSAStartup

三、木马后期溯源
根据木马上线地址进行whois反查，可以得到注册人邮箱和注册时间，可以看出，注册时间是在15年底，可以看出该木马还相当新颖。

通过百度该qq号，可以发现作者曾经在13年通过多个qq号在百度贴吧进行诈骗。

通过深入调查分析可以发现作者在13年使用过多个qq号进行诈骗，分别有75xxxx315，74xxxx061,120xxxx323,453xxxx57
通过对这些qq号对应的微信号进行查询，发现74xxxx061对应的微信号可能来自于聚星直播平台某女主播。以一个粉丝的身份添加74xxxx061并加入粉丝群，想找主播套点话不过失败了，而且还打草惊蛇。于是换了个方式，发现该qq号邮箱绑定的支付宝和作者13年诈骗用的某手机号绑定的支付宝一致。

而和该手机号出现在同一帖子中的qq号为453xxxx57，因此怀疑该女主播为知情人。（虽然在和她聊天时她一直一副不知情的样子）。
通过访问该女主播qq空间，发现453xxxx57这个qq号在最近曾经访问过该空间，由于女主播空间仅好友可以访问，可以肯定两者必有联系。
经过深入调查，发现453xxxx57，75xxxx315两号的qq签名几乎一样。如下所示。

而在13年的诈骗活动中，453xxxx57是主要的交易号，而通过对群关系的调查可以发现，75xxxx315可能为木马持有者的大号。通过调查该号对应的微信，可以发现头像疑似作者照片。而对女主播微博进行调查可以发现女主播已经结婚生子，而她的丈夫长相和该微信头像中的人极为相似，而在某张图片中，发现他们带着相同的手表，因此可以断定他们为同一人。（上图为女主播微博中图片，下图为75xxxx315对应微信号）。

通过对女主播微博中照片进行调查可以发现该作者姓名缩写wyz（kwl为女主播姓名缩写）。

调查120xxxx323对应微信号，可发现他的微信账号为wyc加一串数字，而该微信头像和木马持有者微信头像上的人长相相似，不过较为年轻。通过姓名缩写和长相推断两人为兄弟关系。
对75xxxx315进行群关系调查发现该人加入过一个名称为家人的群。

对该群进行调查可以得出作者所在地。

虽然木马持有者不姓林，不过可以断定他为该家族中的一员，是广东省湛江市廉江市人，而调查发现该女主播也是廉江市人。由此得到关系网如下。

（PS：感谢@Nian 的帮忙才找到那个女主播的信息从而找到整个关系的核心，没有她的帮助就没办法完成溯源）

四、总结
hook007木马已活跃多年，直至现在无法根除，唯有提高警惕性才能防止木马入侵。当陌生人或者游戏好友发送类似装备图等文件给你时，建议先用杀毒软件进行查杀，或者将文件夹选项中的相关选项进行勾选或舍弃，勾选方法如图所示（按照我的做法就是了），然后再判断是否有隐藏的木马等文件。

Hyabcd · 发表于 2016-2-2 10:11

易木马发表于 2016-2-2 09:57
这是人不？这是人的节奏吗？太牛逼了，但唯一遗憾的是没有逆向执行模块。它究竟向这个邮箱发送什么东西…… ...

这是个远控木马，socket上线后就开始执行远控，按照这种游戏强制交易木马的特征就是控制用户屏幕，鼠标，键盘等进行强制交易

Hyabcd · 发表于 2016-2-1 11:09

Hmily 发表于 2016-2-1 11:05
可惜了，孩子也不大，干什么不好，说不定过两天就被抓起来了，哎。

我记得以前看过freebuf上hook家族黑产分布，广东是重灾区，看来那边黑产很盛行，那个女主播微博早期晒她男朋友的照片时感觉蛮寒酸的。。。然后过了半年就有车了，，

站在黎明前 · 发表于 2016-1-26 11:43

楼主大大的牛逼啊！！！！！！

小白来学习 · 发表于 2016-1-26 11:54

只能默默的说声NB!!!!!

闲月疏云 · 发表于 2016-1-26 11:59

凡人已经阻挡不了大神了

中国法制史 · 发表于 2016-1-26 12:04

NBNB 大神

Emil · 发表于 2016-1-26 12:42

震惊的我无话可说~

Zde_Hui · 发表于 2016-1-26 12:51

6啊，连作者的关系都可以查得出了我等只能膜拜

hlrlqy · 发表于 2016-1-26 13:09

连社工都带了
..

Nian · 发表于 2016-1-27 14:14

我不服。最后怎么没有感谢一下我

Hyabcd · 发表于 2016-1-27 14:22

Nian 发表于 2016-1-27 14:14
我不服。最后怎么没有感谢一下我

我错了，我补上

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] hook007新变种分析及溯源

点评

免费评分

本帖被以下淘专辑推荐:

点评

点评

免费评分