概述近期腾讯御见威胁情报中心监测到一个具有劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族,该木马捆绑在一些破解激活工具中传播。腾讯安全专家建议用户尽量使用正版软件,避免下载使用那些盗版破解激活工具,以免因此中招。 木马首先会安装名为“VideoDriver”的Rootkit病毒,并在每次开机时劫持浏览器跳转到广告页面,然后注入系统进程svchost.exe并下载刷量木马y2b.exe刷量youtube视频。通过腾讯高级威胁溯源系统进行溯源分析还发现了具有相同C2地址的Chrome搜索劫持木马,以及可以完全控制用户电脑,将中毒电脑变成“肉鸡”的大灰狼远程控制木马。
木马攻击流程 为躲避安全软件检测,木马伪造正常商业公司的信息申请合法数字签名,再次提醒安全厂商不要轻易信任数字签名。感染数据显示,该病毒近期活跃度上升,广东、上海、江苏、浙江等地的受害电脑较多。
样本分析带病毒的激活工具运行后释放随机名驱动木马到C:\Windows\Temp目录下,伪装公司名为“VideoDriver”。
木马盗用签名“韵羽健康管理咨询(上海)有限公司”,利用合法的数字签名来逃避查杀。 从网上公开信息可查得,该公司的经营范围为: “健康管理咨询,减肥服务,展览展示服务,包装服务,一类医疗器械、化妆品、美容美发用品、母婴用品、日用百货、办公用品的批发、零售”。 该公司经营范围并不包含软件开发、信息技术等领域,因此不会有签名系统被入侵的情况,推测此次很可能是木马作者通过伪造公司的信息,向签名颁发机构申请了证书。
木马安装的关机回调导致每次开机时通过浏览器打开广告页面hxxp://count./jump.php
驱动木马创建设备对象\\DosDevices\\VideoDriver,应用层木马可通过该对象打开驱动并与之通信。
枚举进程PID,并通过PID找到进程svchost.exe
KeStackAttachProcess进入到进程地址空间并执行shellcode
Shellcode执行后从服务器下载hxxp://dl.ossdown.fun/y2b.dat,保存为本地文件C:\Windows\Temp\y2b.exe,然后拉起运行。
y2b.exey2b.exe运行后上传机器信息到info.d3pk.com返回一个URL地址: hxxps://www.youtube.com/watch?v=peJ2vpMiU-s
该地址为Youtube视频页面,继续分析可以发现该页面用于广告刷量(没明白,在中国传播Youtube刷量病毒是几个意思?)
检测是否安装chrome浏览器 获取到登录状态开始访问刷流量
刷量时还支持关闭自动播放
支持检测全屏广告或局部广告
还会通过控件MSScriptControl.ScriptControl执行刷量脚本代码
同源分析通过通过腾讯安图高级威胁溯源系统分析y2b.exe的同源样本,还发现了通过安装chrome插件进行搜索劫持的木马样本,且该样本与“VideoDriver”使用的服务器域名具有较高相似度。 劫持跳转:http://count./jump.php 劫持搜索:http://www.a/info/info.php?brwoser= 恶意Chrome插件木马上传用户安装的浏览器信息 hxxp://www.a/info/info.php?brwoser=
如果发现用户机器上存在chrome浏览器则在浏览器中安装恶意插件程序
在插件目录下,可以看到配置文件manifest.json,插件启动页面popup.html
Popup.html通过chrome.tabs.create来创建一个tab用来打开URL:www.15s0.com
访问该URL是一个不常见的搜索页面,并且输入任何内容进行搜索,都会返回搜索错误,推测可能被用来作为钓鱼网站或者利用页面传播木马。
远控木马通过腾讯安图高级威胁溯源系统对C2地址a进行扩散分析,发现通过该地址还曾用于传播大灰狼远控木马88.dll
木马程序为了方便远程的文件更新,把恶意代码加密后放在远程的服务器中,下载后需要在本地解密,然后装载到内存中执行。 首先通过CreateFile判断C:\Program Files\AppPatch\88.dll 是否存在
不存在则解密出服务器地址hxxp://www.a/tool/88.dll,并下载88.dl
获得下载样本88.dll后会检测文件尾部数据“SSSSSSVID:2014-SV8 ”进行校验。
然后通过内存加载PE执行,内存中装载的PE文件任然通过加UPX进行壳保护
内存加载后获取导出函数DllFuUpgradrs的地址调用,调用时传播2个参数:第一个为加密过的数据块,第二个为字符串“Cao360yni”
字符串解密后得到上线配置信息,包括控制端IP地址154.48.232.234,端口8008,释放文件路径%ProgramFiles%\Microsoft Svoveu\.Dgzgpfj.exe,安装服务名、上线分组等信息。
从内存中dump出文件,并文件将脱壳后分析,得到一个DLL样本,该样本在导出函数DllFuUpgraders中进行服务安装
上线后连接C2地址154.48.232.234
构造GET、POST请求数据包,通过send发送数据包进行网络通信
通过接收到的不同命令字跳转执行远程功能
木马具有:包括查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,删除文件,清除系统记录,查看系统服务,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。 尝试结束网络监控进程zreboot.exe、zrupdate.exe、zrclient.exe、arpguard.exe、Ingress.exe
通过枚举注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall搜集软件安装信息
搜集浏览器收藏夹URL数据
枚举搜索文件
执行指定程序
键盘记录
设置SeShutdownPrivilege获得特权并关机。
通过以下步骤设置系统允许多个用户同时连接3389端口进行远程桌面:
木马还具有中英文消息发送功能
安全建议1、不要运行来历不明的程序,谨慎使用激活、破解工具。 2、关闭不常用的高危端口,如3389等。 3、保持杀毒软件实时开启,如果安全软件已经报警,这样的激活工具更不能再使用。
IOCs域名 www.a
count. info.d3pk.com dl.ossdown.fun IP 154.48.232.234 104.27.137.193 104.27.157.2 URL hxxp://www.a/tool/88.dll hxxp://count./jump.php hxxp://www.a/info/info.php?brwoser= hxxp:///info.php hxxp://dl.ossdown.fun/y2b.dat hxxp://dl.ossdown.fun/g.dat MD5 9e2233176e8dbfeb35dbe2ec56a6fa55 cd3b172832b5eb0d531a2aaf1bca71fc b9da69c9b0428bd820f7a6a87f4c8f6d 01e5b2fcebc9a965ee39ec1373d3603d ec8c214b58fa351b869ae3ffc8926f80 03403276ffa7e47f05ce80d67792ef5e 271728794b52c72b49df7a44d5f478ff 7a9e28a294a64047e63795c0d6856944 89b1a1a23650706119cde98a1da90eb1 5fbc027c528f7bbd8b510ce75aa8c353 ca9130fa91f4c5b4e8fa10f5ecca87ea 044fa5fbf71fbe1c440259cb16a28c3f 0607ff68c082bb47816ee4a6dea5013e 7a9e28a294a64047e63795c0d6856944 e9e22eb1a814a629bfe452f726fe9769 ebfda79fbfcd98dcbdd3db7952c932c5 |
|