超级军网腾讯反病毒实验室拦截到一个能干掉所有杀软的诡异木马
来源:百度文库 编辑:超级军网 时间:2024/04/28 16:31:20
http://www.acfun.tv/v/ac2672456
全中,升级包下手入侵系统,同时绕开了43个杀软,不偷网银和游戏帐号,只记录键盘操作,截屏,操作摄像头录像.收集的信息伪装成DNS包上传到门户网站服务器,基本绕开所有杀软监控。只要联网就中招,这木马强行把自己写入杀软白名单,市面上主要杀软都被开发者逆向了.但是又不用来搞钱
只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:
全中,升级包下手入侵系统,同时绕开了43个杀软,不偷网银和游戏帐号,只记录键盘操作,截屏,操作摄像头录像.收集的信息伪装成DNS包上传到门户网站服务器,基本绕开所有杀软监控。只要联网就中招,这木马强行把自己写入杀软白名单,市面上主要杀软都被开发者逆向了.但是又不用来搞钱
只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:
1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。2、木马行为概述 2.1 来源与传播途径
经过对大量受感染用户的分析,我们发现该木马来源于不安全的网络,无任何系统漏洞的机器只要连接到这些网络后,在一段时间后会感染木马,经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时,更新包被替换成木马,导致电脑被入侵。木马传播示意图如图1所示。图1. 木马主要传播途径示意图2.2 木马安装流程
木马运行后会判断本机安装的安全软件,会检测多达43款安全相关软件,当检测到不同的安全软件后,执行不同的安装方式,以实现绕过安全软件的检测和拦截。经分析发现该木马主要有三种不同的安装方式,木马最终安装启动的方式为将核心dll释放到explorer同目录下,对其进行dll劫持启动。如图2中三种颜色分别代表三种不同的安装方式,经测试该木马能够绕过当前绝大部分安全软件的防御和拦截最终成功安装。图2. 木马安装流程示意图2.3 木马功能分解
该木马主要功能是窃取计算机各种信息,通过插件监控监听各种常用聊天软件的语音文字聊天信息,接受指令进行简单的远程操控,将自动化收集到的各种信息文件打包发送。如图3所示为木马功能一览。图3. 木马功能一览2.4 木马网络通信
该木马的网络通信方式与木马的传播方式相呼应,木马将收集到的各种信息打包成文件,随后将其加密并封装成DNS请求包,并将这些数据包发送到国内几大知名网站服务器。这样的通讯方式可以绕过几乎所有的防火墙、入侵检测产品,然而黑客如何取得这些数据包从而获得窃取的数据呢?经分析发现其封装的DNS数据包都有着相同且固定的数据包头,因此我们推测黑客会在数据包必经之路上对数据包进行拦截转发到黑客服务器,从而获得收集到的信息,如图4所示为推测出的木马通讯数据包投递流程。图4.木马网络通讯方式推测3、木马详细分析 3.1、安装释放
3.1.1母体结构该木马的母体程序为一个exe可执行文件,通过网络劫持正常软件的更新程序而被下载执行,该文件中包含5个资源文件,均为简单加密的PE文件,其中141为x86版核心dll、142为lsp劫持dll、146为x64版核心dll、150为白加黑黑文件,151为白加黑白文件,以下将详细分析。图5. 母体资源信息3.1.2 适应多种系统,不同系统不同行为判断操作系统版本,设置全局变量,随后将根据该全局变了进行大量的不同操作。图6. 判断操作系统版本并设置标志3.1.3 利用系统漏洞提权判断当前系统是否为vista、win7等,如果是则检测当前进程是否具有管理员权限,如果没有该木马会尝试通过CVE-2011-1249将自身提升为管理员权限。该漏洞影响xp、vista、win7等多种版本操作系统。
3.1.4 对explorer进行dll劫持通过注册表检测本机安装的安全软件,当目标系统没有安装安全软件时,木马将根据操作系统释放劫持dll到%windir%目录下对explorer进行劫持启动,在xp等系统下木马释放ntshrui.dll、在win7等系统释放msls32.dll,在win8等系统释放AduioSes.dll。随后启动一个新的explorer进程加载核心dll开始工作,此为第一种安装方式。图8. 木马通过释放dll到explorer同目录进行劫持启动3.2、对抗安全软件
3.2.1 暂存核心文件如果检测到趋势等国际安全软件而又未检测到国内主流安全软件时,木马会将核心dll释放到%CommonProgramfiles%的一个子目录下,暂时存放。图9. 暂时存放核心dll3.2.2 释放dll并安装lsp同时释放lsp劫持dll,并添加lsp,通过lsp,该dll可以注入到所有具有网络连接的进程中。在注入的进程中进行dll文件的移动,从而绕过安全软件,此为第二种安装方式。图10. 释放lsp劫持dll图11. 安装lsp3.2.3 释放白加黑对抗杀软当存在国内主流安全软件时,木马为了绕过针对lsp安装的拦截使用了白加黑技术。图12. 木马释放白加黑两个文件,准备绕过主防3.2.4 通过白加黑安装lsp过主防木马通过白加黑技术,并加以一系列复杂技巧绕过主动防御实现安装lsp,经测试大部分安全软件的主动防御均被绕过。图13. 通过白加黑绕过主防安装lsp3.2.5 绕过杀软对explorer进行dll劫持安装lsp后,相关dll便以lsp劫持的方式插入到所有联网进程中,包括svchost、浏览器、聊天软件、安全软件等。Dll加载后首先判断当前进程,符合条件则将之前备份的核心dll移动到%windir%目录进行劫持(重启后移动)。此为第三种安装方式。图14. 将核心dll移动到%windir%目录进行劫持3.2.6 加载核心dll随后木马判断自身是否位于ie、svchost、杀软等进程,以进行不同的行为,同时尝试直接加载核心dll(如果没加载,劫持需要等系统重启后核心dll才会被加载)。图15. 根据当前进程名决定是否立即加载核心dll3.2.7 恶意操作杀软白名单,免杀木马判断自身是否位于各种安全软件进程中,如果是则调用安全软件自身接口进行白名单添加,会将所有木马文件路径添加到杀软白名单中。经测试,涉及到的安全软件均能正常添加白名单。图16. 某安全软件白名单添加相关代码3.2.8 lsp阻止安全软件联网,阻断云查通过lsp过滤函数对WSPSend、WSPSendTo函数进行过滤,当判断发包者是安全软件进程则直接关闭连接,阻止联网,阻断云查。图17. 阻止安全软件联网云查3.3、信息收集
3.3.1 收集网卡信息收集的网卡信息包括网卡型号、网卡mac、网关ip、网关mac等。图18. 通过发送arp包获取网关mac地址3.3.2 收集系统安装的软件列表木马通过注册表Uninstall获取计算机安装的软件列表信息,将获取的信息异或0×87后写入到C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}\soft.prog文件中,以下获取的信息无特殊说明都位于该目录下。图19. 获取安装软件列表3.3.3 截屏获取当前屏幕快照,zip压缩后保存为time().v文件。图20. 获取屏幕快照3.3.4 收集磁盘文件目录获取磁盘驱动器信息,包括全盘所有文件路径,获取后zip压缩到drive.d文件中。图21.获取磁盘文件信息3.3.5 收集IE历史记录通过com获取浏览器历史记录信息,存储到ie.his图22. 获取浏览器访问记录3.3.6 收集设备信息遍历系统设备,判断是否有笔记本电源适配器、摄像头、麦克风三种设备,将结果加密写入到time().hd文件中。图23. 遍历系统设备图24. 判断是否有指定设备3.3.7 针对浏览器进行键盘记录安装WH_GETMESSAGE全局钩子,安装后理论上所有具有消息循环的进程均会加载此dll,并调用钩子函数,在钩子回调中,判断当前进程是否是Iexplorer.exe、360se.exe、SogouExplorer.exe三种浏览器进程,如果是则进行键盘记录,记录的包括按键信息、窗口标题,通过imm32.dll该方法还可以记录中文输入,记录到的信息存为(日期+时间).k文件。图25. 安装钩子图26. 只记录指定浏览器进程的键盘输入3.3.8 收集gmail信息在记录键盘时,当判断以上浏览器窗口中含有Gmail字符时,会启动一个线程专门收集Gmail信息,会加载相关插件,尝试通过Imap协议下载服务器上的所有文件。图27. 判断是否正在登录gmail图28. 通过插件尝试通过IMAP协议收集数据3.3.9 加载插件收集各种IM相关信息通过进程名判断skype.exe、cc.exe、raidcall.exe、yy.exe、aliim.exe等即时聊天、语音聊天软件,加载相关插件对此类聊天软件进行监听监控。图29. 根据im软件进程名加载相关插件图30. 通过插件的接口可猜测相关插件主要用于监控聊天信息图31. 木马针对所有常见通讯软件均做了监控3.4、网络通讯
3.4.1通讯协议此木马最诡异的地方是通讯方式,该木马没有C&C服务器,所有的数据均伪装成DNS包发送到www.baidu.com、www.sina.com、www.163.com域名所在服务器的53端口或者8000端口。黑客要想获取这些数据包,必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。图32. 木马的数据包均发送到www.sina.com等服务器上图33. 木马使用udp协议通讯,目标端口为53或者8000图34. 木马伪装成DNS协议数据包,每个包都有固定的包头作为标记图35.嵌入到DNS协议中的木马数据,即使专业的网络管理员,也难发现异常3.4.2 自动上传收集到的文件所有木马自动收集的文件,木马插件生成的文件都会被定时打包编号并发送出去。图36. 定时读取相关文件,打包编号发送出去,发送成功后会删除相关文件3.4.3 远程控制木马还会绑定本地一个udp端口,并不断尝试收取指令,进行远程控制,主要的远程控制功能包括cmdshell、文件管理、插件管理等。图37.绑定本地一个udp端口图38. 不断尝试收取控制指令图39. 远控功能4、木马信息 4.1安全软件
木马检测到多达43款安全软件,涵盖了国内全部的安全产品及国外较有名的安全产品,从安全软件来看,该木马主要针对国内用户。图40. 木马检测的安全软件列表4.2 其它信息
从木马的互斥体、调试信息等可看出DCM应该是该木马的代号,但是什么的缩写的?这个还真猜不出来。图41. 木马中的字符串信息5、安全建议
软件厂商:下载更新程序尽量使用https等安全加密的通讯协议,对下载回来的文件在加载运行前一定要做签名校验。用户:尽量不要使用安全性未知的网络上网,如公共WIFI、酒店网络等,如果怀疑自己的网络有问题,及时与运营商反映。此外安装安全软件可在一定程度上防御此类攻击,目前管家已率先查杀该木马及其变种。
全中,升级包下手入侵系统,同时绕开了43个杀软,不偷网银和游戏帐号,只记录键盘操作,截屏,操作摄像头录像.收集的信息伪装成DNS包上传到门户网站服务器,基本绕开所有杀软监控。只要联网就中招,这木马强行把自己写入杀软白名单,市面上主要杀软都被开发者逆向了.但是又不用来搞钱
只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:
1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。
5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。
2、木马行为概述 2.1 来源与传播途径经过对大量受感染用户的分析,我们发现该木马来源于不安全的网络,无任何系统漏洞的机器只要连接到这些网络后,在一段时间后会感染木马,经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时,更新包被替换成木马,导致电脑被入侵。木马传播示意图如图1所示。
图1. 木马主要传播途径示意图
2.2 木马安装流程木马运行后会判断本机安装的安全软件,会检测多达43款安全相关软件,当检测到不同的安全软件后,执行不同的安装方式,以实现绕过安全软件的检测和拦截。经分析发现该木马主要有三种不同的安装方式,木马最终安装启动的方式为将核心dll释放到explorer同目录下,对其进行dll劫持启动。如图2中三种颜色分别代表三种不同的安装方式,经测试该木马能够绕过当前绝大部分安全软件的防御和拦截最终成功安装。
图2. 木马安装流程示意图
2.3 木马功能分解该木马主要功能是窃取计算机各种信息,通过插件监控监听各种常用聊天软件的语音文字聊天信息,接受指令进行简单的远程操控,将自动化收集到的各种信息文件打包发送。如图3所示为木马功能一览。
图3. 木马功能一览
2.4 木马网络通信该木马的网络通信方式与木马的传播方式相呼应,木马将收集到的各种信息打包成文件,随后将其加密并封装成DNS请求包,并将这些数据包发送到国内几大知名网站服务器。这样的通讯方式可以绕过几乎所有的防火墙、入侵检测产品,然而黑客如何取得这些数据包从而获得窃取的数据呢?经分析发现其封装的DNS数据包都有着相同且固定的数据包头,因此我们推测黑客会在数据包必经之路上对数据包进行拦截转发到黑客服务器,从而获得收集到的信息,如图4所示为推测出的木马通讯数据包投递流程。
图4.木马网络通讯方式推测
3、木马详细分析 3.1、安装释放3.1.1母体结构
该木马的母体程序为一个exe可执行文件,通过网络劫持正常软件的更新程序而被下载执行,该文件中包含5个资源文件,均为简单加密的PE文件,其中141为x86版核心dll、142为lsp劫持dll、146为x64版核心dll、150为白加黑黑文件,151为白加黑白文件,以下将详细分析。
图5. 母体资源信息
3.1.2 适应多种系统,不同系统不同行为
判断操作系统版本,设置全局变量,随后将根据该全局变了进行大量的不同操作。
图6. 判断操作系统版本并设置标志
3.1.3 利用系统漏洞提权
判断当前系统是否为vista、win7等,如果是则检测当前进程是否具有管理员权限,如果没有该木马会尝试通过CVE-2011-1249将自身提升为管理员权限。该漏洞影响xp、vista、win7等多种版本操作系统。
3.1.4 对explorer进行dll劫持
通过注册表检测本机安装的安全软件,当目标系统没有安装安全软件时,木马将根据操作系统释放劫持dll到%windir%目录下对explorer进行劫持启动,在xp等系统下木马释放ntshrui.dll、在win7等系统释放msls32.dll,在win8等系统释放AduioSes.dll。随后启动一个新的explorer进程加载核心dll开始工作,此为第一种安装方式。
图8. 木马通过释放dll到explorer同目录进行劫持启动
3.2、对抗安全软件3.2.1 暂存核心文件
如果检测到趋势等国际安全软件而又未检测到国内主流安全软件时,木马会将核心dll释放到%CommonProgramfiles%的一个子目录下,暂时存放。
图9. 暂时存放核心dll
3.2.2 释放dll并安装lsp
同时释放lsp劫持dll,并添加lsp,通过lsp,该dll可以注入到所有具有网络连接的进程中。在注入的进程中进行dll文件的移动,从而绕过安全软件,此为第二种安装方式。
图10. 释放lsp劫持dll
图11. 安装lsp
3.2.3 释放白加黑对抗杀软
当存在国内主流安全软件时,木马为了绕过针对lsp安装的拦截使用了白加黑技术。
图12. 木马释放白加黑两个文件,准备绕过主防
3.2.4 通过白加黑安装lsp过主防
木马通过白加黑技术,并加以一系列复杂技巧绕过主动防御实现安装lsp,经测试大部分安全软件的主动防御均被绕过。
图13. 通过白加黑绕过主防安装lsp
3.2.5 绕过杀软对explorer进行dll劫持
安装lsp后,相关dll便以lsp劫持的方式插入到所有联网进程中,包括svchost、浏览器、聊天软件、安全软件等。Dll加载后首先判断当前进程,符合条件则将之前备份的核心dll移动到%windir%目录进行劫持(重启后移动)。此为第三种安装方式。
图14. 将核心dll移动到%windir%目录进行劫持
3.2.6 加载核心dll
随后木马判断自身是否位于ie、svchost、杀软等进程,以进行不同的行为,同时尝试直接加载核心dll(如果没加载,劫持需要等系统重启后核心dll才会被加载)。
图15. 根据当前进程名决定是否立即加载核心dll
3.2.7 恶意操作杀软白名单,免杀
木马判断自身是否位于各种安全软件进程中,如果是则调用安全软件自身接口进行白名单添加,会将所有木马文件路径添加到杀软白名单中。经测试,涉及到的安全软件均能正常添加白名单。
图16. 某安全软件白名单添加相关代码
3.2.8 lsp阻止安全软件联网,阻断云查
通过lsp过滤函数对WSPSend、WSPSendTo函数进行过滤,当判断发包者是安全软件进程则直接关闭连接,阻止联网,阻断云查。
图17. 阻止安全软件联网云查
3.3、信息收集3.3.1 收集网卡信息
收集的网卡信息包括网卡型号、网卡mac、网关ip、网关mac等。
图18. 通过发送arp包获取网关mac地址
3.3.2 收集系统安装的软件列表
木马通过注册表Uninstall获取计算机安装的软件列表信息,将获取的信息异或0×87后写入到C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}\soft.prog文件中,以下获取的信息无特殊说明都位于该目录下。
图19. 获取安装软件列表
3.3.3 截屏
获取当前屏幕快照,zip压缩后保存为time().v文件。
图20. 获取屏幕快照
3.3.4 收集磁盘文件目录
获取磁盘驱动器信息,包括全盘所有文件路径,获取后zip压缩到drive.d文件中。
图21.获取磁盘文件信息
3.3.5 收集IE历史记录
通过com获取浏览器历史记录信息,存储到ie.his
图22. 获取浏览器访问记录
3.3.6 收集设备信息
遍历系统设备,判断是否有笔记本电源适配器、摄像头、麦克风三种设备,将结果加密写入到time().hd文件中。
图23. 遍历系统设备
图24. 判断是否有指定设备
3.3.7 针对浏览器进行键盘记录
安装WH_GETMESSAGE全局钩子,安装后理论上所有具有消息循环的进程均会加载此dll,并调用钩子函数,在钩子回调中,判断当前进程是否是Iexplorer.exe、360se.exe、SogouExplorer.exe三种浏览器进程,如果是则进行键盘记录,记录的包括按键信息、窗口标题,通过imm32.dll该方法还可以记录中文输入,记录到的信息存为(日期+时间).k文件。
图25. 安装钩子
图26. 只记录指定浏览器进程的键盘输入
3.3.8 收集gmail信息
在记录键盘时,当判断以上浏览器窗口中含有Gmail字符时,会启动一个线程专门收集Gmail信息,会加载相关插件,尝试通过Imap协议下载服务器上的所有文件。
图27. 判断是否正在登录gmail
图28. 通过插件尝试通过IMAP协议收集数据
3.3.9 加载插件收集各种IM相关信息
通过进程名判断skype.exe、cc.exe、raidcall.exe、yy.exe、aliim.exe等即时聊天、语音聊天软件,加载相关插件对此类聊天软件进行监听监控。
图29. 根据im软件进程名加载相关插件
图30. 通过插件的接口可猜测相关插件主要用于监控聊天信息
图31. 木马针对所有常见通讯软件均做了监控
3.4、网络通讯3.4.1通讯协议
此木马最诡异的地方是通讯方式,该木马没有C&C服务器,所有的数据均伪装成DNS包发送到www.baidu.com、www.sina.com、www.163.com域名所在服务器的53端口或者8000端口。黑客要想获取这些数据包,必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。
图32. 木马的数据包均发送到www.sina.com等服务器上
图33. 木马使用udp协议通讯,目标端口为53或者8000
图34. 木马伪装成DNS协议数据包,每个包都有固定的包头作为标记
图35.嵌入到DNS协议中的木马数据,即使专业的网络管理员,也难发现异常
3.4.2 自动上传收集到的文件
所有木马自动收集的文件,木马插件生成的文件都会被定时打包编号并发送出去。
图36. 定时读取相关文件,打包编号发送出去,发送成功后会删除相关文件
3.4.3 远程控制
木马还会绑定本地一个udp端口,并不断尝试收取指令,进行远程控制,主要的远程控制功能包括cmdshell、文件管理、插件管理等。
图37.绑定本地一个udp端口
图38. 不断尝试收取控制指令
图39. 远控功能
4、木马信息 4.1安全软件 木马检测到多达43款安全软件,涵盖了国内全部的安全产品及国外较有名的安全产品,从安全软件来看,该木马主要针对国内用户。
图40. 木马检测的安全软件列表
4.2 其它信息从木马的互斥体、调试信息等可看出DCM应该是该木马的代号,但是什么的缩写的?这个还真猜不出来。
图41. 木马中的字符串信息
5、安全建议软件厂商:下载更新程序尽量使用https等安全加密的通讯协议,对下载回来的文件在加载运行前一定要做签名校验。
用户:尽量不要使用安全性未知的网络上网,如公共WIFI、酒店网络等,如果怀疑自己的网络有问题,及时与运营商反映。此外安装安全软件可在一定程度上防御此类攻击,目前管家已率先查杀该木马及其变种。
http://www.acfun.tv/v/ac2672456全中,升级包下手入侵系统,同时绕开了43个杀软,不偷网银和游戏帐号,只记录键盘操作,截屏,操作摄像头录像.收集的信息伪装成DNS包上传到门户网站服务器,基本绕开所有杀软监控。只要联网就中招,这木马强行把自己写入杀软白名单,市面上主要杀软都被开发者逆向了.但是又不用来搞钱
只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:
1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。2、木马行为概述 2.1 来源与传播途径
经过对大量受感染用户的分析,我们发现该木马来源于不安全的网络,无任何系统漏洞的机器只要连接到这些网络后,在一段时间后会感染木马,经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时,更新包被替换成木马,导致电脑被入侵。木马传播示意图如图1所示。
图1. 木马主要传播途径示意图2.2 木马安装流程木马运行后会判断本机安装的安全软件,会检测多达43款安全相关软件,当检测到不同的安全软件后,执行不同的安装方式,以实现绕过安全软件的检测和拦截。经分析发现该木马主要有三种不同的安装方式,木马最终安装启动的方式为将核心dll释放到explorer同目录下,对其进行dll劫持启动。如图2中三种颜色分别代表三种不同的安装方式,经测试该木马能够绕过当前绝大部分安全软件的防御和拦截最终成功安装。
图2. 木马安装流程示意图2.3 木马功能分解该木马主要功能是窃取计算机各种信息,通过插件监控监听各种常用聊天软件的语音文字聊天信息,接受指令进行简单的远程操控,将自动化收集到的各种信息文件打包发送。如图3所示为木马功能一览。
图3. 木马功能一览2.4 木马网络通信该木马的网络通信方式与木马的传播方式相呼应,木马将收集到的各种信息打包成文件,随后将其加密并封装成DNS请求包,并将这些数据包发送到国内几大知名网站服务器。这样的通讯方式可以绕过几乎所有的防火墙、入侵检测产品,然而黑客如何取得这些数据包从而获得窃取的数据呢?经分析发现其封装的DNS数据包都有着相同且固定的数据包头,因此我们推测黑客会在数据包必经之路上对数据包进行拦截转发到黑客服务器,从而获得收集到的信息,如图4所示为推测出的木马通讯数据包投递流程。
图4.木马网络通讯方式推测3、木马详细分析 3.1、安装释放3.1.1母体结构该木马的母体程序为一个exe可执行文件,通过网络劫持正常软件的更新程序而被下载执行,该文件中包含5个资源文件,均为简单加密的PE文件,其中141为x86版核心dll、142为lsp劫持dll、146为x64版核心dll、150为白加黑黑文件,151为白加黑白文件,以下将详细分析。
图5. 母体资源信息3.1.2 适应多种系统,不同系统不同行为判断操作系统版本,设置全局变量,随后将根据该全局变了进行大量的不同操作。图6. 判断操作系统版本并设置标志3.1.3 利用系统漏洞提权判断当前系统是否为vista、win7等,如果是则检测当前进程是否具有管理员权限,如果没有该木马会尝试通过CVE-2011-1249将自身提升为管理员权限。该漏洞影响xp、vista、win7等多种版本操作系统。3.1.4 对explorer进行dll劫持通过注册表检测本机安装的安全软件,当目标系统没有安装安全软件时,木马将根据操作系统释放劫持dll到%windir%目录下对explorer进行劫持启动,在xp等系统下木马释放ntshrui.dll、在win7等系统释放msls32.dll,在win8等系统释放AduioSes.dll。随后启动一个新的explorer进程加载核心dll开始工作,此为第一种安装方式。
图8. 木马通过释放dll到explorer同目录进行劫持启动3.2、对抗安全软件3.2.1 暂存核心文件如果检测到趋势等国际安全软件而又未检测到国内主流安全软件时,木马会将核心dll释放到%CommonProgramfiles%的一个子目录下,暂时存放。
图9. 暂时存放核心dll3.2.2 释放dll并安装lsp同时释放lsp劫持dll,并添加lsp,通过lsp,该dll可以注入到所有具有网络连接的进程中。在注入的进程中进行dll文件的移动,从而绕过安全软件,此为第二种安装方式。图10. 释放lsp劫持dll图11. 安装lsp3.2.3 释放白加黑对抗杀软当存在国内主流安全软件时,木马为了绕过针对lsp安装的拦截使用了白加黑技术。图12. 木马释放白加黑两个文件,准备绕过主防3.2.4 通过白加黑安装lsp过主防木马通过白加黑技术,并加以一系列复杂技巧绕过主动防御实现安装lsp,经测试大部分安全软件的主动防御均被绕过。图13. 通过白加黑绕过主防安装lsp3.2.5 绕过杀软对explorer进行dll劫持安装lsp后,相关dll便以lsp劫持的方式插入到所有联网进程中,包括svchost、浏览器、聊天软件、安全软件等。Dll加载后首先判断当前进程,符合条件则将之前备份的核心dll移动到%windir%目录进行劫持(重启后移动)。此为第三种安装方式。图14. 将核心dll移动到%windir%目录进行劫持3.2.6 加载核心dll随后木马判断自身是否位于ie、svchost、杀软等进程,以进行不同的行为,同时尝试直接加载核心dll(如果没加载,劫持需要等系统重启后核心dll才会被加载)。图15. 根据当前进程名决定是否立即加载核心dll3.2.7 恶意操作杀软白名单,免杀木马判断自身是否位于各种安全软件进程中,如果是则调用安全软件自身接口进行白名单添加,会将所有木马文件路径添加到杀软白名单中。经测试,涉及到的安全软件均能正常添加白名单。图16. 某安全软件白名单添加相关代码3.2.8 lsp阻止安全软件联网,阻断云查通过lsp过滤函数对WSPSend、WSPSendTo函数进行过滤,当判断发包者是安全软件进程则直接关闭连接,阻止联网,阻断云查。图17. 阻止安全软件联网云查3.3、信息收集3.3.1 收集网卡信息收集的网卡信息包括网卡型号、网卡mac、网关ip、网关mac等。
图18. 通过发送arp包获取网关mac地址3.3.2 收集系统安装的软件列表木马通过注册表Uninstall获取计算机安装的软件列表信息,将获取的信息异或0×87后写入到C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}\soft.prog文件中,以下获取的信息无特殊说明都位于该目录下。图19. 获取安装软件列表3.3.3 截屏获取当前屏幕快照,zip压缩后保存为time().v文件。图20. 获取屏幕快照3.3.4 收集磁盘文件目录获取磁盘驱动器信息,包括全盘所有文件路径,获取后zip压缩到drive.d文件中。图21.获取磁盘文件信息3.3.5 收集IE历史记录通过com获取浏览器历史记录信息,存储到ie.his图22. 获取浏览器访问记录3.3.6 收集设备信息遍历系统设备,判断是否有笔记本电源适配器、摄像头、麦克风三种设备,将结果加密写入到time().hd文件中。图23. 遍历系统设备图24. 判断是否有指定设备3.3.7 针对浏览器进行键盘记录安装WH_GETMESSAGE全局钩子,安装后理论上所有具有消息循环的进程均会加载此dll,并调用钩子函数,在钩子回调中,判断当前进程是否是Iexplorer.exe、360se.exe、SogouExplorer.exe三种浏览器进程,如果是则进行键盘记录,记录的包括按键信息、窗口标题,通过imm32.dll该方法还可以记录中文输入,记录到的信息存为(日期+时间).k文件。图25. 安装钩子图26. 只记录指定浏览器进程的键盘输入3.3.8 收集gmail信息在记录键盘时,当判断以上浏览器窗口中含有Gmail字符时,会启动一个线程专门收集Gmail信息,会加载相关插件,尝试通过Imap协议下载服务器上的所有文件。图27. 判断是否正在登录gmail图28. 通过插件尝试通过IMAP协议收集数据3.3.9 加载插件收集各种IM相关信息通过进程名判断skype.exe、cc.exe、raidcall.exe、yy.exe、aliim.exe等即时聊天、语音聊天软件,加载相关插件对此类聊天软件进行监听监控。图29. 根据im软件进程名加载相关插件图30. 通过插件的接口可猜测相关插件主要用于监控聊天信息图31. 木马针对所有常见通讯软件均做了监控3.4、网络通讯3.4.1通讯协议此木马最诡异的地方是通讯方式,该木马没有C&C服务器,所有的数据均伪装成DNS包发送到www.baidu.com、www.sina.com、www.163.com域名所在服务器的53端口或者8000端口。黑客要想获取这些数据包,必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。
图32. 木马的数据包均发送到www.sina.com等服务器上图33. 木马使用udp协议通讯,目标端口为53或者8000图34. 木马伪装成DNS协议数据包,每个包都有固定的包头作为标记图35.嵌入到DNS协议中的木马数据,即使专业的网络管理员,也难发现异常3.4.2 自动上传收集到的文件所有木马自动收集的文件,木马插件生成的文件都会被定时打包编号并发送出去。图36. 定时读取相关文件,打包编号发送出去,发送成功后会删除相关文件3.4.3 远程控制木马还会绑定本地一个udp端口,并不断尝试收取指令,进行远程控制,主要的远程控制功能包括cmdshell、文件管理、插件管理等。图37.绑定本地一个udp端口图38. 不断尝试收取控制指令图39. 远控功能4、木马信息 4.1安全软件木马检测到多达43款安全软件,涵盖了国内全部的安全产品及国外较有名的安全产品,从安全软件来看,该木马主要针对国内用户。
图40. 木马检测的安全软件列表4.2 其它信息从木马的互斥体、调试信息等可看出DCM应该是该木马的代号,但是什么的缩写的?这个还真猜不出来。
图41. 木马中的字符串信息5、安全建议软件厂商:下载更新程序尽量使用https等安全加密的通讯协议,对下载回来的文件在加载运行前一定要做签名校验。用户:尽量不要使用安全性未知的网络上网,如公共WIFI、酒店网络等,如果怀疑自己的网络有问题,及时与运营商反映。此外安装安全软件可在一定程度上防御此类攻击,目前管家已率先查杀该木马及其变种。
只看标题就知道是360
那句话怎么说来着?没有最强的盾,只有更利的矛?
这个木马的作者只是卖包吗?
腾讯也有杀毒软件?
这木马也太牛逼了吧?
牛B,,,,,,,
牛B,,,,,,,
国内哪个厂商最有嫌疑?360还是瑞星?
http://www.vccn.com.cn/Personal/820.html
无线网络俘获系统
驱逐舰无线网络俘获系统VC-U7
无线网络捕获系统可以自动监测无线WIFI网络传输的数据,如:QQ、MSN、邮箱、网页、网络电话、文件传输(FTP)、网络游戏等所有无线WIFI网络发送与接收的信息,并具有对无线网络阻断、无线数据包解析还原。
【专供军警】
无线网络捕获系统可以自动监测无线WIFI网络传输的数据,如:QQ、MSN、邮箱、网页、网络电话、文件传输(FTP)、网络游戏等所有无线WIFI网络发送与接收的信息,并具有对无线网络阻断、无线数据包解析还原。配置有定向天线和全向天线以增大检查范围。
无线网络捕获系统可检测区域所符合(WIFI 802.11 a/b/g)国际标准的无线通信信号,捕获范围内所有无线网络的通信,捕获到无线网络区域内网络基站 (AP) 和通过与基站联网的使用者(STA)。
参数特点
可对扫描范围内无线WIFI实现以下功能
可扫描范围内所有的AP和WIFI上网用户。
对无线WIFI上网使用者进行三角定位。
对AP或WIFI上网使用者进行攻击,使其网络(切断)掉线。
对WIFI上网使用者进行网络协议内容记录。
对AP进行无线密码破解。 可单独指定一个AP或一个WIFI上网使用者进行无线信息捕获。
功能说明
捕获范围
可捕获区域内所有符合802.11a/b/g国际标准的无线通信协议,无线捕获系统在无障碍物情况下,可搜索到80~130米区域的无线信号和数据。提供捕获设备与无线基台(Access Point)和连线(Connection)电脑(Station)的相关信息。
捕获功能
提供在 802.11a/b/g/n 无线网络环境下,可指定频道(channel)下所有网络基地(AP)及使用者(STA)功能,可以指定使用者(STA)进行捕获审计。
数据搜索
在 802.11a/b/g 无线网络环境下,除了要即时对MAC及网卡制造商等信息设置搜索并发出信息外,另可针对已审计到的信息,以邮件帐号(Mail Account)、系统帐号(Telnet、FTP Login Account)、电脑名称(Computer Name)、ESSID(Extended Service Set Identifier)、基础服务识别码(BSSID)等关键字进行搜索,以得知特定电脑的MAC地址及IP地址等信息。
无线密码
提供在捕获无线网络通讯协议信息达到足够内容后,WEP加密信息资料尝试求得加密的WEP KEY,藉以解译所侧录的加密无线网络通讯协议信息的资料内容。
提供已知无线密码的情形下,手动把密码导入,在审计同时可立即解开WEP加密信息,藉以解译所审计的加密无线网络通讯协议信息的资料内容。
数据备份
提供无线网络通讯协议内容的tcp dump储存格式,可指定设置文件大小,并依日期时间等信息作为文件储存的名称;可导出供Ethereal等封包解译软件工具读取分析。提供光盘刻录功能,供使用者将无线网络通信协议信息内容刻录在光盘上储存。
捕获网页
网页(HTTP):包含日期/时间、帐号/IP、URL、主机名称(Host)、文件名称及内容、大小、上传/下载、在线视频。
邮件捕获
邮件(SMTP/POP3/IMAP):包含日期/时间、帐号、发件人、收件人、副本、主题、文件大小、附件。
网页邮件(WebMail):包含日期/时间、帐号、发件人、收件人、副本、主旨、文件大小、附件。
捕获下载
文件传输(P2P):包含日期/时间、帐号、寄件者、主旨、网页邮件种类、附件。
文件传输(FTP):包含日期/时间、Server IP、Source IP、User ID(帐号)、上传/下载、FTP服务器、文件名称及内容。
捕获游戏
网络游戏(On-Line Game):包含日期/时间、帐号、Port、P-IP、D-Port、游戏名称。
种类:包含魔兽世界等130种以上的在线游戏捕获。
捕获通讯
即时通讯(IM):包含日期/时间、Source IP、使用者代号(Sender ID)、对谈者代号(Receiver ID)、聊天记录、附件。
种类:MSN(包含WEB MSN)、QQ、YAHOO、UT、ICQ、IRC、SKYPE、GOOGLETALK。
捕获语音
可记录网络数字语音连接的日期、时间、帐号、发号端号码、受话端号码、连线协议、编码方式、连线架构、文件名称及交谈时间。
捕获论坛
论坛网站 (Facebook, Facebook IM, Twitter, Plurk)。
TELNET:包含日期/时间、帐号或Source/Destination IP、密码、服务器、文件内容及大小。
其它功能
在不需配发IP情况下,可进行捕获无线网络通信协议的信息内容。 可导入tcpdump文件格式,并进行文件解译的功能。 可导入并解译Etheral等软件工具所抓取到的网络封包资料。
无线网络俘获系统
驱逐舰无线网络俘获系统VC-U7
无线网络捕获系统可以自动监测无线WIFI网络传输的数据,如:QQ、MSN、邮箱、网页、网络电话、文件传输(FTP)、网络游戏等所有无线WIFI网络发送与接收的信息,并具有对无线网络阻断、无线数据包解析还原。
【专供军警】
无线网络捕获系统可以自动监测无线WIFI网络传输的数据,如:QQ、MSN、邮箱、网页、网络电话、文件传输(FTP)、网络游戏等所有无线WIFI网络发送与接收的信息,并具有对无线网络阻断、无线数据包解析还原。配置有定向天线和全向天线以增大检查范围。
无线网络捕获系统可检测区域所符合(WIFI 802.11 a/b/g)国际标准的无线通信信号,捕获范围内所有无线网络的通信,捕获到无线网络区域内网络基站 (AP) 和通过与基站联网的使用者(STA)。
参数特点
可对扫描范围内无线WIFI实现以下功能
可扫描范围内所有的AP和WIFI上网用户。
对无线WIFI上网使用者进行三角定位。
对AP或WIFI上网使用者进行攻击,使其网络(切断)掉线。
对WIFI上网使用者进行网络协议内容记录。
对AP进行无线密码破解。 可单独指定一个AP或一个WIFI上网使用者进行无线信息捕获。
功能说明
捕获范围
可捕获区域内所有符合802.11a/b/g国际标准的无线通信协议,无线捕获系统在无障碍物情况下,可搜索到80~130米区域的无线信号和数据。提供捕获设备与无线基台(Access Point)和连线(Connection)电脑(Station)的相关信息。
捕获功能
提供在 802.11a/b/g/n 无线网络环境下,可指定频道(channel)下所有网络基地(AP)及使用者(STA)功能,可以指定使用者(STA)进行捕获审计。
数据搜索
在 802.11a/b/g 无线网络环境下,除了要即时对MAC及网卡制造商等信息设置搜索并发出信息外,另可针对已审计到的信息,以邮件帐号(Mail Account)、系统帐号(Telnet、FTP Login Account)、电脑名称(Computer Name)、ESSID(Extended Service Set Identifier)、基础服务识别码(BSSID)等关键字进行搜索,以得知特定电脑的MAC地址及IP地址等信息。
无线密码
提供在捕获无线网络通讯协议信息达到足够内容后,WEP加密信息资料尝试求得加密的WEP KEY,藉以解译所侧录的加密无线网络通讯协议信息的资料内容。
提供已知无线密码的情形下,手动把密码导入,在审计同时可立即解开WEP加密信息,藉以解译所审计的加密无线网络通讯协议信息的资料内容。
数据备份
提供无线网络通讯协议内容的tcp dump储存格式,可指定设置文件大小,并依日期时间等信息作为文件储存的名称;可导出供Ethereal等封包解译软件工具读取分析。提供光盘刻录功能,供使用者将无线网络通信协议信息内容刻录在光盘上储存。
捕获网页
网页(HTTP):包含日期/时间、帐号/IP、URL、主机名称(Host)、文件名称及内容、大小、上传/下载、在线视频。
邮件捕获
邮件(SMTP/POP3/IMAP):包含日期/时间、帐号、发件人、收件人、副本、主题、文件大小、附件。
网页邮件(WebMail):包含日期/时间、帐号、发件人、收件人、副本、主旨、文件大小、附件。
捕获下载
文件传输(P2P):包含日期/时间、帐号、寄件者、主旨、网页邮件种类、附件。
文件传输(FTP):包含日期/时间、Server IP、Source IP、User ID(帐号)、上传/下载、FTP服务器、文件名称及内容。
捕获游戏
网络游戏(On-Line Game):包含日期/时间、帐号、Port、P-IP、D-Port、游戏名称。
种类:包含魔兽世界等130种以上的在线游戏捕获。
捕获通讯
即时通讯(IM):包含日期/时间、Source IP、使用者代号(Sender ID)、对谈者代号(Receiver ID)、聊天记录、附件。
种类:MSN(包含WEB MSN)、QQ、YAHOO、UT、ICQ、IRC、SKYPE、GOOGLETALK。
捕获语音
可记录网络数字语音连接的日期、时间、帐号、发号端号码、受话端号码、连线协议、编码方式、连线架构、文件名称及交谈时间。
捕获论坛
论坛网站 (Facebook, Facebook IM, Twitter, Plurk)。
TELNET:包含日期/时间、帐号或Source/Destination IP、密码、服务器、文件内容及大小。
其它功能
在不需配发IP情况下,可进行捕获无线网络通信协议的信息内容。 可导入tcpdump文件格式,并进行文件解译的功能。 可导入并解译Etheral等软件工具所抓取到的网络封包资料。
但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截
...........................................................
能在通信节点去接收病毒发回的数据能做到的有谁呢?这种病毒是富贵病,一般人不会中的。
...........................................................
能在通信节点去接收病毒发回的数据能做到的有谁呢?这种病毒是富贵病,一般人不会中的。
外国情报机关投放的?
应该不是360,360每年流出去不少员工,包不住的。
应该是美国人干的。
因为美国已经宣布对中国网战了,去年奥黑说的。
应该是美国人干的。
因为美国已经宣布对中国网战了,去年奥黑说的。
还好,没大蜘蛛的身影,俺就安心了。
乌云上有个自称是这病毒作者的,不知真假。说是公安机关针对特定人群的,和一般人没关系。
http://drops.wooyun.org/tips/14911
乌云上有个自称是这病毒作者的,不知真假。说是公安机关针对特定人群的,和一般人没关系。
http://drops.wooyun.org/tips/14911
楼主这么牛B,连源代码都有了?而且还是如此简单的源代码?
很普通,并不诡异,
qq、wx、ww、taobao。。。。
qq、wx、ww、taobao。。。。
国家队针对国内的外国间谍的
softy 发表于 2016-4-18 23:42
国家队针对国内的外国间谍的
很可能是外囯间牒,目标不是帐号或钱。
国家队针对国内的外国间谍的
很可能是外囯间牒,目标不是帐号或钱。
腾讯也有杀毒软件?
电脑管家知道不,另外腾讯这方面也有自己的团队,也就比360差点
电脑管家知道不,另外腾讯这方面也有自己的团队,也就比360差点
左右手互搏,忽悠网民上当。兔子几大杀毒商都是老手。我用的是小红伞
电脑盲看着也觉得很牛逼的样子
自己种的稻子,自己割,腾讯割的稻子,难道会别人家的?
没困难,创造困难也要上,这就是杀软的现状
没困难,创造困难也要上,这就是杀软的现状
国内杀软我还是相信360
祖国这么流氓 发表于 2016-4-18 14:11
国内哪个厂商最有嫌疑?360还是瑞星?
360或者瑞星会吃饱了撑的专门去查gmail??gmail在中国用的人本来就不多。
这个病毒只能是公安机关用的
国内哪个厂商最有嫌疑?360还是瑞星?
360或者瑞星会吃饱了撑的专门去查gmail??gmail在中国用的人本来就不多。
这个病毒只能是公安机关用的
360或者瑞星会吃饱了撑的专门去查gmail??gmail在中国用的人本来就不多。
这个病毒只能是公安机关 ...
gmail都几年登不上了。
这个病毒只能是公安机关 ...
gmail都几年登不上了。
gmail都几年登不上了。
国内普通用户谁上gmail。还不是国内安全机关弄得。能在国内dns安全节点拦截数据的。不用想就知道是谁。散了吧
国内普通用户谁上gmail。还不是国内安全机关弄得。能在国内dns安全节点拦截数据的。不用想就知道是谁。散了吧
超音速很冤枉 发表于 2016-4-19 14:44
360或者瑞星会吃饱了撑的专门去查gmail??gmail在中国用的人本来就不多。
这个病毒只能是公安机关 ...
看来大水冲了龙王庙了
360或者瑞星会吃饱了撑的专门去查gmail??gmail在中国用的人本来就不多。
这个病毒只能是公安机关 ...
看来大水冲了龙王庙了
楼主这么牛B,连源代码都有了?而且还是如此简单的源代码?
反汇编啊,逆向研究程序必备
反汇编啊,逆向研究程序必备
国家队的。。散了散了
凶残的丧心病狂啊
看超大畅谈的是不是特点人群