盗版激活工具暗藏木马中招可能被远程控制

九州君子好人 2021-06-12

展开全文

概述

近期腾讯御见威胁情报中心监测到一个具有劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族，该木马捆绑在一些破解激活工具中传播。腾讯安全专家建议用户尽量使用正版软件，避免下载使用那些盗版破解激活工具，以免因此中招。

木马首先会安装名为“VideoDriver”的Rootkit病毒，并在每次开机时劫持浏览器跳转到广告页面，然后注入系统进程svchost.exe并下载刷量木马y2b.exe刷量youtube视频。通过腾讯高级威胁溯源系统进行溯源分析还发现了具有相同C2地址的Chrome搜索劫持木马，以及可以完全控制用户电脑，将中毒电脑变成“肉鸡”的大灰狼远程控制木马。

木马攻击流程

为躲避安全软件检测，木马伪造正常商业公司的信息申请合法数字签名，再次提醒安全厂商不要轻易信任数字签名。感染数据显示，该病毒近期活跃度上升，广东、上海、江苏、浙江等地的受害电脑较多。

样本分析

带病毒的激活工具运行后释放随机名驱动木马到C:\Windows\Temp目录下，伪装公司名为“VideoDriver”。

木马盗用签名“韵羽健康管理咨询（上海）有限公司”，利用合法的数字签名来逃避查杀。

从网上公开信息可查得，该公司的经营范围为： “健康管理咨询，减肥服务，展览展示服务，包装服务，一类医疗器械、化妆品、美容美发用品、母婴用品、日用百货、办公用品的批发、零售”。

该公司经营范围并不包含软件开发、信息技术等领域，因此不会有签名系统被入侵的情况，推测此次很可能是木马作者通过伪造公司的信息，向签名颁发机构申请了证书。

木马安装的关机回调导致每次开机时通过浏览器打开广告页面hxxp://count./jump.php

驱动木马创建设备对象\\DosDevices\\VideoDriver，应用层木马可通过该对象打开驱动并与之通信。

枚举进程PID，并通过PID找到进程svchost.exe

KeStackAttachProcess进入到进程地址空间并执行shellcode

Shellcode执行后从服务器下载hxxp://dl.ossdown.fun/y2b.dat，保存为本地文件C:\Windows\Temp\y2b.exe，然后拉起运行。

y2b.exe

y2b.exe运行后上传机器信息到info.d3pk.com返回一个URL地址：

hxxps://www.youtube.com/watch?v=peJ2vpMiU-s

该地址为Youtube视频页面，继续分析可以发现该页面用于广告刷量（没明白，在中国传播Youtube刷量病毒是几个意思？）

检测是否安装chrome浏览器

获取到登录状态开始访问刷流量

刷量时还支持关闭自动播放

支持检测全屏广告或局部广告

还会通过控件MSScriptControl.ScriptControl执行刷量脚本代码

同源分析

通过通过腾讯安图高级威胁溯源系统分析y2b.exe的同源样本，还发现了通过安装chrome插件进行搜索劫持的木马样本，且该样本与“VideoDriver”使用的服务器域名具有较高相似度。

劫持跳转：http://count./jump.php

劫持搜索：http://www.a/info/info.php?brwoser=

恶意Chrome插件

木马上传用户安装的浏览器信息

hxxp://www.a/info/info.php?brwoser=

如果发现用户机器上存在chrome浏览器则在浏览器中安装恶意插件程序

在插件目录下，可以看到配置文件manifest.json，插件启动页面popup.html

Popup.html通过chrome.tabs.create来创建一个tab用来打开URL：www.15s0.com

访问该URL是一个不常见的搜索页面，并且输入任何内容进行搜索，都会返回搜索错误，推测可能被用来作为钓鱼网站或者利用页面传播木马。

远控木马

通过腾讯安图高级威胁溯源系统对C2地址a进行扩散分析，发现通过该地址还曾用于传播大灰狼远控木马88.dll

木马程序为了方便远程的文件更新，把恶意代码加密后放在远程的服务器中，下载后需要在本地解密，然后装载到内存中执行。

首先通过CreateFile判断C:\Program Files\AppPatch\88.dll 是否存在

不存在则解密出服务器地址hxxp://www.a/tool/88.dll，并下载88.dl

获得下载样本88.dll后会检测文件尾部数据“SSSSSSVID:2014-SV8

”进行校验。

然后通过内存加载PE执行，内存中装载的PE文件任然通过加UPX进行壳保护

内存加载后获取导出函数DllFuUpgradrs的地址调用，调用时传播2个参数：第一个为加密过的数据块，第二个为字符串“Cao360yni”

字符串解密后得到上线配置信息，包括控制端IP地址154.48.232.234，端口8008,释放文件路径%ProgramFiles%\Microsoft Svoveu\.Dgzgpfj.exe，安装服务名、上线分组等信息。

从内存中dump出文件，并文件将脱壳后分析，得到一个DLL样本，该样本在导出函数DllFuUpgraders中进行服务安装

上线后连接C2地址154.48.232.234

构造GET、POST请求数据包，通过send发送数据包进行网络通信

通过接收到的不同命令字跳转执行远程功能

木马具有：包括查看本机信息，查看本机注册表，查看本地硬盘，上传、下载文件，删除文件，清除系统记录，查看系统服务，运行程序，结束程序，及其3389远程桌面多用户登陆，记录键盘等一系列远程功能。

尝试结束网络监控进程zreboot.exe、zrupdate.exe、zrclient.exe、arpguard.exe、Ingress.exe

通过枚举注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall搜集软件安装信息

搜集浏览器收藏夹URL数据

枚举搜索文件

执行指定程序

键盘记录

设置SeShutdownPrivilege获得特权并关机。

通过以下步骤设置系统允许多个用户同时连接3389端口进行远程桌面：
(1)对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
KeepRASConnections设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(2)用文件接收功能，接收termsrvhack.dll到文件到C盘根目录下
(3)复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll
(4)复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll