吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14955|回复: 38
收起左侧

[PC样本分析] “异鬼Ⅱ”Bootkit木马详细分析

  [复制链接]
腾讯电脑管家 发表于 2017-7-26 19:11
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 腾讯电脑管家 于 2017-7-26 19:33 编辑

概述:
   下载站的高速下载器一直是恶意木马大规模传播的温床,前段时间的暗云Ⅲ木马通过高速下载器传播推广,感染机器数高达数百万台。近期,腾讯电脑管家又拦截到了一个通过高速下载器大范围传播的恶性Bootkit木马——异鬼Ⅱ,令人吃惊的是这个恶意VBR的植入者,居然是一款比较知名的软件——甜椒刷机。        
        正因为开发者是正规的软件公司,软件上打了官方的数字签名,不少安全厂商将其加入白名单中,导致大量机器感染。该木马主要有以下特点:
        1.        正规软件携带恶意代码:异鬼Ⅱ隐藏在正规软件中,带有官方数字签名,导致大量安全厂商直接放行。
        2.        影响范围广:通过国内几大知名下载站的高速下载器推广,并且异鬼Ⅱ能够兼容xpwin7win10等主流操作系统,影响数百万台用户机器
        3.        云控、灵活作恶:木马的VBR感染模块,以及最终实际作恶的模块均由云端下发,作者可任意下发功能模块到受害者电脑执行任意恶意行为,目前下发的主要是篡改浏览器主页、劫持导航网站、后台        刷流量等。
        4.        隐蔽性强、顽固性强:通过感染VBR长期驻留在系统中,普通的重装系统无法清除木马;异鬼Ⅱ还通过底层磁盘钩子守护恶意VBR,对抗杀软查杀。

                   v1.png
    (更多“异鬼”资料查看http://tav.qq.com/index/newsDetail/255.html

一、            甜椒刷机通过下载器静默推广传播,云控篡改VBR         
   近期,甜椒刷机通过各大网站高速下载器疯狂静默推广,该版本的甜椒看似刷机软件,实则为恶性木马。异鬼Ⅱ隐藏了能够拉起云端恶意代码的后门,一旦运行,会从云端下载VBR感染模块感染电脑VBR,即使用户重装系统,也无法清除
v2.png
v3.png    
该版本甜椒刷机与官方http://www.onekeyrom.com/index.html最新版版本不同,应该是一个支线版本,和官网的安装包用的是同一个数字证书签名,且木马使用的C&C服务器与其官方软件所用服务器一致。

v4.jpg

1.  安装包行为
1)  运行后安装包首先会判断自身文件名中是否包含“20174”字符,如果包含则开始静默安装并在注册表、互斥量上做标记,准备感染。
v5.png
2)  创建名为SamRootDetect的互斥量,创建HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FC70EFDD-2741-495C-9A93-42408F6878D9}\un注册表键值。
v6.png
3)  释放所有安装文件到指定目录后,运行主程序TJShuaji.exe,并Sleep 20秒,TJShuaji.exe启动后会检测互斥量,检测到才进行感染,所以必须在20秒内启动。 v7.png


2.  TJShuaji.exe行为
1)检测是否存在名为SamRootDetect或者OdinDetect的互斥量,或者命令行中是否包含有以上字符串。若是,则设立感染标志。
v8.png
2) 满足以上条件,则设立感染标志。
v9.png
3) 判断感染标志,创建线程进行感染行为。
v10.png
4) 在线程中判断注册表否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\un键值(母体创建),以及是否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex键值(感染后会设置,防止重复感染)。

v11.png
5) 满足以上条件后,访问以下URL,根据操作系统版本信息等下载数据,http://bd.705151.com/clientapi/clientreport.ashx?u=%d&pc=%s&os=%d&sid=%d其中u为注册表un键值,pc为mac、cpuid等硬件信息的hash值,sid写死为10,os为32或64。
v12.png
6) 提交信息后,服务器根据上传的版本信息重定向到不同的URL返回下载结果。32位:http://npic.shangfx.com/42c/43/6/a07/31a2d803.wav64位:http://cache.yzrub.com/842/99/bb26/a2087bb.wav文件下载回来后,解密并用zlib解压后在内存中加载执行,以下将其称作installdll.dll
v13.png
v14.png
v15.png

2.      installdll.dll行为该文件pdb路径VBR中的木马PDB路径一致,可以确定为同一伙人开发。
v16.png
1) 判断指定进程下是否有甜椒刷机安装包程序,以确定自己是否为被指定的程序推广安装,若否,则退出,不会进行感染。此外,如果注册表存在\duowan\YYExplorer路径,即便没有找到相关文件也会进行感染。
v17.png
2) 检测进程列表中的进程名是否包含有smsniffWiresharkDbgviewProcmonprocexpOllyDbgregshotProcessHackerIDAqdevenv等字符,有则退出。 v18.png
v19.png
3) 检测进程中是否有SbieDll.dllapi_log.dlldir_watch.dllSXIn.dll模块,有则退出。
v20.png
v21.png
4) 通过进程名检测瑞星、360安全卫士、360杀毒、金山卫士、金山毒霸、腾讯电脑管家、百度杀毒、百度卫士、卡巴斯基、诺顿、MSE、火绒等安全软件,根据检测结果执行不同的感染逻辑,杀软进程名使用XOR 0x29加密。
v22.png
v23.png
5)感染相关的代码在dll中,木马在内存中展开感染模块并加载执行,以下将其称为infect.dll,该dll提供两个导出函数,一个为BkInstall、BkTryWriteDisk,分别对应直接应用层写磁盘和通过驱动写磁盘的功能。此外,该dll有两个版本,分别对应win10操作系统和其他windows操作系统。如果要调用BkTryWriteDisk,则会先释放驱动到driver目录下并加载。
v24.png
v25.png


3.  infect.dll行为
1) BkInstall,该函数直接打开磁盘写入木马。
v26.png
2) BkTryWriteDisk,与\\.\{28F28D04-F525-fd5d-87197-C7A95250BCE2}设备进行通信,将要写入的内容和地址传给该设备进行磁盘写操作。
v27.png


4.  WriteDiskBySys.sys行为
该驱动加了VMP,从其老版本以及pdb信息和应用层的调用方式分析,可知该驱动会创建名为{28F28D04-F525-fd5d-87197-C7A95250BCE2}的设备,供应用层调用,主要实现向指定磁盘位置写入数据的功能。

v28.png


二、          VBR进入内核
该恶意的VBR是基于著名的网银木马Carberp的泄漏源码修改而来的,从VBR起一路hook到进入windows内核。
v29.png

1.        VBR行为VBRwindows内核的启动过程见http://tav.qq.com/index/newsDetail/255.html,下图所示为被感染后的VBR数据。恶意VBR代码实现解密并加载磁盘尾部的palyload数据到windows内核中得到dump_diskfs.sys并执行。
v30.png
2.        dump_diskfs.sys行为
1)  加载的内核驱动不会落地,驱动名字为dump_diskfs.sys。与系统中的几个正常驱动名字非常相近,并且同样不会落地,因此具有很大的迷惑性。
v31.png
2)  playload数据中解压出一个应用层dll,将其保存到C:\\Windows\\system32\\usbsapi.dll payload数据:
v32.png
v33.png
3)  将解压出来的dll注入usbapi.dll到应用层:注册LoadImageNotifyRoutine回调,将usbapi.dll注入到explorer.exeservices.exespoolsv.exe,注入的方式是在目标进程的导入表中添加usbapi.dll为新的导入项。

v34.png
4)  explorer.exeservices.exespoolsv.exe注入完成后的清理工作,注入完成后,驱动会删除LoadImageNotifyRoutine,并且强制删除usbsapi.dll,同时将正常的usbmon.dll拷贝重命名为usbsapi.dll。此外,驱动还会修改usbsapi.dll的时间属性为过去的某一固定时间,以迷惑安全分析人员。
v35.png
5)  hook磁盘驱动保护VBR。直接hook了磁盘驱动中的IRP_MJ_INTERNAL_DEVICE_CONTROL派遣函数。对写VBR区域的操作不做操作,只返回一个错误码。
v36.png
v37.png

三、          插入到应用层的usbsapi.dll行为
v38.png
1.       usbsapi.dll行为内存中展开一个dll,并将其加载,以下将其命名为injectdll_mini.dll
v39.png
2.      injectdll_mini.dll行为injectdll_mini.dll主要实现内存加载。
v40.png
1)  线程1——加载插件:查找指定目录下的wav文件,提取尾部数据,用zlib解压出一个PE文件,在内存中展开,三个进程加载的文件路径不同(文件名根据进程信息计算得来)。 v41.png
v42.png
插件保存目录如下:C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\MediaservicesspoolsvC:\Users\{USERNAME}\AppData\Local\Microsoft\Mediaexplorer 2)  线程2——下载插件:连接C&C,往iqp.sjime.comupd 8000端口发送包含当前进程信息的数据,接收并解密服务器返回的数据,从数据中解密提取要下载的url地址,从相关url地址下载wav文件到指定目录。如果失败,则6分钟后尝试备用域名buu.211360.com,不过当前两个域名都指向同一ip地址。
v43.png
分析时,服务器返回的插件下载地址分别为:(spoolsv大部分不返回数据)services.exe svcdll64.dll)(http://932.kjwkn.com/uploads/wid/201704/1914595972.wavexplorer.exe NewLockWebEx.dll)(http://ju58.tswzsh.com/a26/5e3/f51f/74/8f0a8f6.wav
v44.png
下载成功的wav文件会保存到以下目录。C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\MediaC:\Users\{USERNAME}\AppData\Local\Microsoft\Media v45.png
v46.png

四、          恶意插件行为分析
1.        explorer.exe NewLockWebEx.dll)行为
该插件的行为主要是通过修改注册表、通过修改浏览器配置信息、通过修改浏览器缓存中的导航网站cookie等方式来实现主页推广劫持。
v47.png
v48.png
v49.png
v50.png
v51.png


2.        services.exe svcdll64.dll)行为:
该插件通过修改host文件、强删安全软件配置文件、修改浏览器配置文件来实现锁主页,此外,会连C&C定时上报信息。
1)  加载驱动,强制删除安全软件配置文件
v52.png
v53.png

v54.png
2)  修改host文件,用于劫持sougou导航。
v55.png
3)   修改多款浏览器的主页配置信息。
v56.png
pdb v57.png
4)   C&C进行通信,10分钟上报一次状态信息(系统版本,杀软情况等)。
v58.png

3.        spoolsv.exe printfll264.dll)行为该插件下载成功率较低,主要功能是刷流量、后台点广告、推广安装软件等。
1)   printfll264.dll内置两个模块(printfll264_1,printfll264_2)会注入到傀儡进程中。修改注册表,设置svchost.exerundll32.exe进程使用的ie内核版本,后继会用到这傀儡进程模拟浏览器来刷流量。 v59.jpg
2)    创建一个32位的svchost.exe傀儡进程,将数据段中的printfll264_1注入到该进程中执行,以下我们将该PE文件命名为DevData.exe
v60.jpg
DevData.exepdb如下:
v61.jpg 其功能为点广告、刷流量。
3)    通过UDP连接服务器,返回刷流量的url列表,然后通过模拟浏览器,访问指定的网站刷流量。
v62.jpg
4)    发现刷的网站都是一些自媒体的专辑视频,点击量很高,但是点赞和评论量为0,明显是刷出来的访问量。
v63.png

刷流量的链接:http://bowl.jumu8.com/t/bowl.html 跳转到http://my.tv.sohu.com/pl/9123507/87376056.shtml,中间有一层跳转,方便了作者统计流量。
v64.jpg


五、          中毒判断
1.       检查电脑以下目录是否存在.wav文件。                  
          C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media                  
          C:\Users\用户名\AppData\Local\Microsoft\Media
2.      检查是否存在C:\windwos\system32\usbsapi.dll文件。
3.      注册表存在以下键值,说明已感染HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 值:1


六、          查杀及安全建议
1.      尽量不要通过下载站下载软件,如果一定要用到高速下载器,安装时记得去掉不需要的推荐软件。
2.      由于该木马文件有数字签名,且被大多数安全软件默认为信任,因此多数安全厂商还无法查杀该木马。目前电脑管家已经能够查杀该VBR木马,发现电脑有异常的用户可下载电脑管家进行清理。

v65.png

免费评分

参与人数 23吾爱币 +22 热心值 +22 收起 理由
Liumik + 1 + 1 我很赞同!
Fariin + 1 + 1 我很赞同!
ducd + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
芦苇孑 + 1 + 1 我很赞同!
tfkc125088 + 1 + 1 谢谢@Thanks!
伏羲 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
huzxc + 1 + 1 用心讨论,共获提升!
shen13246579 + 1 + 1 谢谢@Thanks!
夜袭和尚庙 + 1 + 1 木马不可怕 就怕是官方木马 你说对吧 斜眼笑
2627097475 + 1 + 1 热心回复!
mc0.0 + 1 + 1 热心回复!
巭孬嫑勥烎 + 1 + 1 谢谢@Thanks!
zhangjianfei + 1 + 1 竟然是腾讯的
Ventus + 1 + 1 用心讨论,共获提升!
Kyipie + 1 + 1 我很赞同!
韦海峰 + 1 + 1 哇塞发现腾讯人员一枚
manyzhao + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
菜狗 + 1 + 1 tx大法好
红楼一梦 + 1 + 1 就这个发帖 的态度都得评分
KaQqi + 1 已答复!
可爱的小新萌 + 1 额...不错的文章,话说楼主是腾讯官方人员???
唯殇 + 1 + 1 热心回复!
Aliangabugui + 1 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

大大怪 发表于 2017-7-26 20:32
大大怪 发表于 2017-7-26 19:44
楼主你好我是360安全卫士,我们也发现了这个刷流量的组织,但是我们正在通过天眼系统进行溯源,你这么直接 ...

反正都被管家惊了, 我再惊一下万一把蛇吓死了呢@cqr2287
红楼一梦 发表于 2017-7-26 20:25
大大怪 发表于 2017-7-26 19:44
楼主你好我是360安全卫士,我们也发现了这个刷流量的组织,但是我们正在通过天眼系统进行溯源,你这么直接 ...

天眼 好厉害的样子  会渡劫么
大大怪 发表于 2017-7-26 19:44
楼主你好我是360安全卫士,我们也发现了这个刷流量的组织,但是我们正在通过天眼系统进行溯源,你这么直接公布出来会打草惊蛇的。

免费评分

参与人数 1热心值 +1 收起 理由
KaQqi + 1 你这么回复岂不也是打草惊蛇?

查看全部评分

先有我后有天 发表于 2017-7-26 20:32 来自手机
卧槽,居然有腾讯的人。那以后腾讯的东西破解了就会被发现吧
椎名真白Tut 发表于 2017-7-26 21:07
楼上几个都牛逼
manyzhao 发表于 2017-7-26 21:53
厉害了?老专家坐镇?
柠檬Sir 发表于 2017-7-26 23:58
现在的木马进化太快啦
52鱼鱼 发表于 2017-7-27 01:35
本帖最后由 52鱼鱼 于 2017-7-27 01:39 编辑

现在很多软件下载平台都是这种坑
zheng123 发表于 2017-7-27 02:27
看得眼花了!!!!!!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-4 01:29

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表