01 概況
騰訊安全反病毒實驗室發現一個名叫快猴網(www.kuaihou.com)的下載站通過在一些游戲輔助工具包里置入lpk病毒,坐等“肉雞”入坑。
在裸機環境下,受害者在快猴下載站主動下載并運行自己需要的游戲輔助工具,然而受害者并不會注意到其輔助工具解包后的目錄下隱藏著惡意文件lpk.dll,一旦同目錄下的輔助工具運行,lpk.dlll就會被加載執行,繼而lpk.dll會備份自身到受害者計算機磁盤的各個文件夾下,以爭取自身更多的加載執行機會、更長的生命周期、更深的隱藏和潛伏,同時lpk.dll會釋放一個隨機名的EXE病毒,這個EXE病毒會連接&接受C2服務器的指令并發起DDOS攻擊,電腦設備完全淪為Nitol的“肉雞”。
眾所周知 Nitol源碼公開之后,各種不同協議的Nitol版本病毒衍生而出。目前Nitol家族仍然是盤踞在Windows環境下Botnet的“活躍分子”。Nitol的顯著特點就是使用了lpk.dll劫持,通過lpk.dll劫持實現病毒樣本在受害者電腦磁盤上進行橫向復制感染,會向包括U盤等可移動磁盤、本地磁盤的一些文件夾下復制備份lpk.dll,以達到這些劫持攻擊的目的。
2012年在一項代號b70的行動中,微軟發現,中國某些零售商在出售電腦時,會在Windows系統中裝惡意軟件。在整個銷售過程中,為電腦安裝惡意軟件可能跟任意一個銷售環節都有關系,從出廠到運輸,到出售。其中在一項針對Nitol僵尸網絡的研究中,微軟的專家在中國的不同城市購買了一些電腦,發現約有20%都在出廠時感染了惡意軟件。當時Nitol的許多C2都指向了 3322.org這個域名,為阻止了Nitol僵尸網絡的蔓延,微軟接管了3322.org域名的請求,通過DNS重定向阻止了370萬惡意軟件向此網站的連接。
2017年4月包含了永恒之藍(”EternalBlue”)MS-010漏洞的NSA武器庫被匿名黑客公布,除了臭名昭著的”EternalBlue”+WannaCry勒索病毒之外,”EternalBlue”+Nitol病毒也狼狽為奸,快速傳播。在騰訊電腦管家等國內安全軟件的強力防護下,”EternalBlue”的威力不再,利用其他方式傳播的Nitol病毒浮現視野,“快猴網”投毒軟件包,該種水坑攻擊方式的出現并不意外。
02 傳播方式
“快猴網”游戲相關版塊下的大量軟件包被投毒,這些軟件包被了置入lpk.dll惡意文件。從文件的置入時間判斷,至少在2017年2月起就有少量的游戲包開始被投毒lpk.dll,大量的游戲包在10.11日14:52分被投毒或者再次投毒。
從外圍信息來看,快猴網平均每天有10W+的用戶訪問,通過QQ群搜索“kuaihou”,可以發現有大量的游戲愛好者組建的相關游戲QQ群,群公告里均能看到“快猴網”的鏈接地址,不難理解“快猴網”在一些游戲愛好者中的“口碑地位”,也正是這些游戲愛好者會通過“快猴網”下載一些游戲或輔助工具。
一旦有受害者感染Nitol病毒,病毒還會嘗試進行橫向傳播。
1. lpk.dll會備份感染至受害者磁盤的可能存在可執行程序的文件夾,以保證其能夠更好啟動執行; 此時如果受害者計算機連接了U盤、移動硬盤等可移動媒介,lpk.dll還會嘗試備份感染至這些可移動媒介。
2. 另外Nitol病毒一旦有機會執行還會通過弱密碼掃描,進而利用ipc$和默認共享入侵遠程電腦。
03 樣本分析
1. lpk.dll
與其他Nitol木馬生成器產生的lpk.dll一樣,作為加載器lpk.dll將Nitol病毒程序放置在ID為102的RCData資源中,一旦lpk.dll有機會執行,除了進行備份感染傳播外,重要的是lpk.dll會將釋放ID為102位置的Nitol病毒程序并啟動執行。
2. Nitol病毒程序
樣本加了upx壓縮殼,,加殼后文件只有20KB 。
Nitol病毒接受并執行C2服務器發來的指令, 可下載、更新、刪除病毒木馬、通過執行Cmd命令打開IE瀏覽器彈出網頁,另外還可以通過C2遠程指令進行syn flood、tcp flood、http flood三大DDOS攻擊向量。同時Nitol可以通過IPC$共享進行橫向傳播。
1) 新感染Nitol的機器會檢測自身是否運行在windows目錄下,如果不在,則拷貝自身到系統目錄,文件名為6個隨機小寫字符:
2) Nitol拷貝到windows目錄后,會通過創建一個名為“Mnopqr Tuvwxyab fafffs“的服務實現自啟動。
3) Nitol病毒通過弱口令字典嘗試訪問IPC$共享,以達到感染內網的目的。
4) 緊接著完成IPC$共享感染后,病毒程序就會創建線程,連接C2服務器,接受并執行來自于C2服務器的指令。
a) C2地址以密文形式存在于文件中,加密算法為base64+凱撒移位+異或
b) 病毒會根據C2服務器的指令進行任意文件的下載更新、彈出IE網頁,以對目標系統進行如下類型的DDOS攻擊:
i. SYN Flood
ii. TCP Flood
iii. HTTP Flood
c) 遠程指令如下:
3. IOCs
1) “快猴網”部分被投毒的軟件包。
2) C2服務器
a) “快猴網“Nitol僵尸網絡的C2。
b) 其他部分Nitol僵尸網絡C2地址(f3322是目前主要的C2服務器,域名與之前的3322域名有不可描述的相似性)。
3) 快猴DDOS攻擊情況
4) Nitol病毒感染分布
04 安全建議
對于此類病毒從源頭傳播到橫向傳播,電腦管家均可以進行有效的防御和查殺,建議廣大網友保持良好的上網習慣,保持電腦管家的正常開啟,不要因為使用外掛、輔助類工具而輕易關閉或退出電腦管家,使用移動媒介在他人設備拷貝文件時注意電腦管家U盤防護的提醒建議。
京公網安備 11010502049343號