精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業(yè)動態(tài) → 正文

一個文件,百種名稱,百種行為:“百家”木馬集團分析

責任編輯:editor007 |來源:企業(yè)網(wǎng)D1Net  2016-08-14 22:10:19 本文摘自:FreeBuf.COM

000背景

近日,騰訊反病毒實驗室攔截到一批偽裝成客戶通知單的木馬,該木馬會根據(jù)自身文件名的不同而進行多種不同的惡意行為,經(jīng)測試,目前國內的多款殺毒軟件尚不能查殺該病毒,多個木馬的變種MD5被多款安全軟件加入到白名單中,導致主動防御也失效。該木馬近期持續(xù)活躍,傳播量上萬,該木馬有以下特點:

1)通過文件名控制自身行為,根據(jù)不同的文件名有著多達六十多種不同的行為。

2)以直接通過查詢遠程數(shù)據(jù)庫的方式獲取配置信息,減少了不少工作量,但暴露了數(shù)據(jù)庫的帳號密碼。

3)篡改本地受信任數(shù)字證書列表,并構造證書給木馬簽名,逃避查殺。

001木馬文件概況

文件名:客戶通知單xxx.exe(xxx代表id號)

MD5:ab8c32c0360d063375794e76ae824a30

大小:340992字節(jié)

002樣本行為分析

1、加載器行為

1)木馬運行后首先從文件名中從左到右查找數(shù)字,找到后轉換成數(shù)值作為木馬id,如果沒有找到則彈出如下錯誤框。

2)得到id后,直接連接遠程數(shù)據(jù)庫,數(shù)據(jù)庫地址、用戶名、密碼加密內置于木馬文件中。

3)連接成功后直接通過id查詢木馬此id對應的配置信息。

4)該數(shù)據(jù)庫是SQL Server數(shù)據(jù)庫,得到地址、用戶名、密碼等信息后可直接連接數(shù)據(jù)庫,我們震驚地發(fā)現(xiàn),數(shù)據(jù)庫中存儲了多達67種配置,經(jīng)分析,大多為功能獨立的木馬,也就是說,根據(jù)不同的ID,可能執(zhí)行的木馬多達67種。

5)經(jīng)過對木馬行為的分析,結合數(shù)據(jù)庫中的實際數(shù)據(jù),我們得知配置中的比較重要的字段的意義,將其列舉如下:

 

配置字段 功能
id 木馬id
jm 解密密鑰
daxiao 文件大小
fanghi 要創(chuàng)建的傀儡進程
zcb 要創(chuàng)建的注冊表鍵值
qidong 是否要自啟動
shijian 過期時間
dz 下載木馬的URL

 

6)幾乎每個有效的配置都含有一個名為dz的字段,大多為boxpro.cn云盤上的文件鏈接,木馬判斷配置中的到期時間是否還有效,如果有效則下載相關文件,這些文件是木馬核心功能文件,已被加密處理。

7)解密算法如下,解密密鑰保存在配置信息的jm字段中。

8)解密后得到PE文件,并根據(jù)配置的傀儡進程信息,創(chuàng)建傀儡進程執(zhí)行PE。

2、PlayLoad分析

該木馬根據(jù)不同的id,可以下載執(zhí)行多大60多中不同的PlayLoad,經(jīng)抽樣分析,這些不同的PlayLoad大多為Gh0st遠程控制木馬,每個木馬的有著不同的C&C服務器,應該是不同的使用者所使用,當然PlayLoad中還包含有少量的QQ粘蟲木馬(如ID 46),及其他游戲盜號木馬。這些PlayLoad均在傀儡進程中運行。以下取一個典型的Gh0st遠控進行簡單分析。

1)首先在SysTem32目錄下釋放TrustedCert.cer、Trusted.cer兩個證書文件,分別為根證書和CA證書,隨后將證書安裝在本地計算機中。證書情況如下:

2)釋放winlogopc.exe、DULIB.DLL兩個文件到System32目錄組成白加黑,并執(zhí)行winlogopc.exe,winlogopc.exe為聯(lián)想相關文件,為白文件。

3)DULIB.DLL為黑文件,通過白加黑劫持啟動,其擁有偽造的Bitdefender SRL數(shù)字簽名,然而因為木馬之前在本地安裝了數(shù)字證書,使得偽造的簽名有效,用于逃避安全軟件檢測查殺。

4)DULIB.DLL運行后再次創(chuàng)建一個wextract.exe傀儡進程,并解密出一個PE注入到傀儡進程中執(zhí)行。

5)添加注冊表實現(xiàn)開機啟動winlogopc.exe,并不斷守護傀儡進程和注冊表一旦被結束,立即重新創(chuàng)建進程添加注冊表啟動項。

6)傀儡進程wextract.exe中執(zhí)行的代碼為遠程控制木馬Gh0st變種,C&C服務器地址如下:

域名/ip:a.vo88.top

端口:1818

003后記:

經(jīng)過對木馬加載器的詳細分析和配置信息的猜測解讀,做出如下圖猜測,木馬作者負責木馬的免殺(同一個文件),并通過SQL Server上的配置信息來管理和銷售木馬,每賣出一個木馬作者便為牧馬人開立一個帳號,并新增一個ID與之對應,牧馬人每次生成木馬時會自動將配置信息上傳到SQL Server上,包括木馬的到期時間等內容則由作者直接配置。

然而,作者為什么要通過文件名來實現(xiàn)ID的控制呢?為什么給牧馬人分配同一個文件只是文件名不同呢?經(jīng)過大量的分析測試,我們發(fā)現(xiàn)該木馬文件在國內多個安全廠商的白名單中,因為改變文件內容的任意一個字節(jié)都會導致木馬不被信任,而任意修改文件名,則不影響白名單信任。

木馬的MD5為:ab8c32c0360d063375794e76ae824a30,安全廠商們可自行查詢是否位于自家的白名單中,并審核加白渠道。

* 投稿:騰訊安全管家(企業(yè)賬號),轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

關鍵字:木馬文件文件大小

本文摘自:FreeBuf.COM

x 一個文件,百種名稱,百種行為:“百家”木馬集團分析 掃一掃
分享本文到朋友圈
當前位置:安全行業(yè)動態(tài) → 正文

一個文件,百種名稱,百種行為:“百家”木馬集團分析

責任編輯:editor007 |來源:企業(yè)網(wǎng)D1Net  2016-08-14 22:10:19 本文摘自:FreeBuf.COM

000背景

近日,騰訊反病毒實驗室攔截到一批偽裝成客戶通知單的木馬,該木馬會根據(jù)自身文件名的不同而進行多種不同的惡意行為,經(jīng)測試,目前國內的多款殺毒軟件尚不能查殺該病毒,多個木馬的變種MD5被多款安全軟件加入到白名單中,導致主動防御也失效。該木馬近期持續(xù)活躍,傳播量上萬,該木馬有以下特點:

1)通過文件名控制自身行為,根據(jù)不同的文件名有著多達六十多種不同的行為。

2)以直接通過查詢遠程數(shù)據(jù)庫的方式獲取配置信息,減少了不少工作量,但暴露了數(shù)據(jù)庫的帳號密碼。

3)篡改本地受信任數(shù)字證書列表,并構造證書給木馬簽名,逃避查殺。

001木馬文件概況

文件名:客戶通知單xxx.exe(xxx代表id號)

MD5:ab8c32c0360d063375794e76ae824a30

大小:340992字節(jié)

002樣本行為分析

1、加載器行為

1)木馬運行后首先從文件名中從左到右查找數(shù)字,找到后轉換成數(shù)值作為木馬id,如果沒有找到則彈出如下錯誤框。

2)得到id后,直接連接遠程數(shù)據(jù)庫,數(shù)據(jù)庫地址、用戶名、密碼加密內置于木馬文件中。

3)連接成功后直接通過id查詢木馬此id對應的配置信息。

4)該數(shù)據(jù)庫是SQL Server數(shù)據(jù)庫,得到地址、用戶名、密碼等信息后可直接連接數(shù)據(jù)庫,我們震驚地發(fā)現(xiàn),數(shù)據(jù)庫中存儲了多達67種配置,經(jīng)分析,大多為功能獨立的木馬,也就是說,根據(jù)不同的ID,可能執(zhí)行的木馬多達67種。

5)經(jīng)過對木馬行為的分析,結合數(shù)據(jù)庫中的實際數(shù)據(jù),我們得知配置中的比較重要的字段的意義,將其列舉如下:

 

配置字段 功能
id 木馬id
jm 解密密鑰
daxiao 文件大小
fanghi 要創(chuàng)建的傀儡進程
zcb 要創(chuàng)建的注冊表鍵值
qidong 是否要自啟動
shijian 過期時間
dz 下載木馬的URL

 

6)幾乎每個有效的配置都含有一個名為dz的字段,大多為boxpro.cn云盤上的文件鏈接,木馬判斷配置中的到期時間是否還有效,如果有效則下載相關文件,這些文件是木馬核心功能文件,已被加密處理。

7)解密算法如下,解密密鑰保存在配置信息的jm字段中。

8)解密后得到PE文件,并根據(jù)配置的傀儡進程信息,創(chuàng)建傀儡進程執(zhí)行PE。

2、PlayLoad分析

該木馬根據(jù)不同的id,可以下載執(zhí)行多大60多中不同的PlayLoad,經(jīng)抽樣分析,這些不同的PlayLoad大多為Gh0st遠程控制木馬,每個木馬的有著不同的C&C服務器,應該是不同的使用者所使用,當然PlayLoad中還包含有少量的QQ粘蟲木馬(如ID 46),及其他游戲盜號木馬。這些PlayLoad均在傀儡進程中運行。以下取一個典型的Gh0st遠控進行簡單分析。

1)首先在SysTem32目錄下釋放TrustedCert.cer、Trusted.cer兩個證書文件,分別為根證書和CA證書,隨后將證書安裝在本地計算機中。證書情況如下:

2)釋放winlogopc.exe、DULIB.DLL兩個文件到System32目錄組成白加黑,并執(zhí)行winlogopc.exe,winlogopc.exe為聯(lián)想相關文件,為白文件。

3)DULIB.DLL為黑文件,通過白加黑劫持啟動,其擁有偽造的Bitdefender SRL數(shù)字簽名,然而因為木馬之前在本地安裝了數(shù)字證書,使得偽造的簽名有效,用于逃避安全軟件檢測查殺。

4)DULIB.DLL運行后再次創(chuàng)建一個wextract.exe傀儡進程,并解密出一個PE注入到傀儡進程中執(zhí)行。

5)添加注冊表實現(xiàn)開機啟動winlogopc.exe,并不斷守護傀儡進程和注冊表一旦被結束,立即重新創(chuàng)建進程添加注冊表啟動項。

6)傀儡進程wextract.exe中執(zhí)行的代碼為遠程控制木馬Gh0st變種,C&C服務器地址如下:

域名/ip:a.vo88.top

端口:1818

003后記:

經(jīng)過對木馬加載器的詳細分析和配置信息的猜測解讀,做出如下圖猜測,木馬作者負責木馬的免殺(同一個文件),并通過SQL Server上的配置信息來管理和銷售木馬,每賣出一個木馬作者便為牧馬人開立一個帳號,并新增一個ID與之對應,牧馬人每次生成木馬時會自動將配置信息上傳到SQL Server上,包括木馬的到期時間等內容則由作者直接配置。

然而,作者為什么要通過文件名來實現(xiàn)ID的控制呢?為什么給牧馬人分配同一個文件只是文件名不同呢?經(jīng)過大量的分析測試,我們發(fā)現(xiàn)該木馬文件在國內多個安全廠商的白名單中,因為改變文件內容的任意一個字節(jié)都會導致木馬不被信任,而任意修改文件名,則不影響白名單信任。

木馬的MD5為:ab8c32c0360d063375794e76ae824a30,安全廠商們可自行查詢是否位于自家的白名單中,并審核加白渠道。

* 投稿:騰訊安全管家(企業(yè)賬號),轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

關鍵字:木馬文件文件大小

本文摘自:FreeBuf.COM

電子周刊
回到頂部

關于我們聯(lián)系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
新乡县|
岑巩县|
英吉沙县|
青河县|
当雄县|
临清市|
迁安市|
永福县|
崇明县|
武穴市|
沁阳市|
三明市|
沿河|
井研县|
辉县市|
包头市|
呼图壁县|
修文县|
兴和县|
桂林市|
泾阳县|
东台市|
麻城市|
当雄县|
洛扎县|
黄陵县|
双柏县|
贡觉县|
南岸区|
治县。|
莱州市|
江源县|
突泉县|
北川|
遂溪县|
霍城县|
朝阳市|
九江县|
齐河县|
涟源市|
和静县|