騰訊御安全深度解析暗雲Ⅲ

【關鍵詞：騰訊御安全，APK漏洞掃描,APP保護,Android防破解】

前面對暗雲的分析報告中，騰訊電腦管家安全團隊和騰訊御安全基本摸清暗雲Ⅲ的感染方式和傳播方式,也定位到被感染暗雲Ⅲ的機器會在啟動時從服務端下載任務指令碼包——ndn.db檔案，且該檔案會常進行更換。此外，撰寫本文的同時，騰訊御安全也收集到多個不同功能的ndn.db檔案，以下騰訊御安全將對暗雲Ⅲ危害展開具體分析。

0x01 暗雲payload行為分析
在解析db檔案前，先過一次暗雲payload行為：

木馬每5分鐘會聯網下載一次配置檔案 http://www.acsewle.com:8877/ds/kn.html

該html是個配置檔案，木馬會檢查其中的版本號，並儲存，其後每次都會比較，以確定是否更新。

如果有更新，則下載新版本，並根據配置下載檔案執行或者建立svchost.exe傀儡程式執行。

木馬乾活模組lcdn.db其實為lua指令碼解析器，主要功能下載任務db，進而解析執行：

0x02 任務指令碼檔案結構

通過分析，得知ndn.db的檔案結構，大致如下：
struct f_db{
DWORD fileLen; // lua指令碼bytecode檔案大小

DWORD runType; // 執行型別
char fileName[24]; // lua指令碼檔名
char fileData[fileLen]; // lua指令碼bytecode內容

}
如下圖中，紅色框為檔案大小，灰色框為執行型別，藍色框為檔名，紫色框為真實的bytecode內容。

根據檔案結構，進而可從ndn.db中提取到多個lua指令碼的bytecode。

0x03 任務指令碼功能分類
分析得知，其使用的lua版本為5.3，是自行更改過虛擬機器進行編譯。使用普通反編譯工具反編譯後，只能得到部分可讀明文，經過分析統計可知道暗雲Ⅲ現有釋出的功能大致有以下幾類：
1、統計類
解密得到的111tj.lua指令碼，實則為參與攻擊機器統計指令碼。

該指令碼主要作用為：每隔五分鐘，帶Referer：http://www.acsewle.com:8877/um.php訪問cnzz和51.la兩個站點統計頁面，以便統計參與攻擊的機器數及次數。
統計頁面地址為：
http://c.cnzz.com/wapstat.php…
http://web.users.51.la/go.asp…
訪問流量：

2、DDoS類
  這類指令碼，簡單粗暴，直接do、while迴圈，不停地對目標服務發起訪問。如下為dfh01.lua中程式碼，其目標是針對大富豪棋牌遊戲。
L1_1.get = L4_4
L4_4 = {
“182.86.84.236”,
“119.167.151.218”,
“27.221.30.113”,
“119.188.96.111”,
“113.105.245.107”
}
while true do
url = “http://” .. “web.168dfh.biz” .. “/”
L1_1.get(url)
url = “http://” .. “web.168dfh.cn” .. “/”
L1_1.get(url)
url = “http://” .. “web.168dfh.top” .. “/”
L1_1.get(url)
end
  又如，dfhcdn01.lua中：
while true do
sendlogin(“114.215.184.159”, 8002)
sendlogin(“114.215.169.190”, 8005)
sendlogin(“114.215.169.97”, 8002)
sendlogin(“121.41.91.65”, 8005)
sendlogin(“123.56.152.5”, 8000)
sendlogin(“121.199.2.34”, 8002)
sendlogin(“121.199.6.149”, 8000)
sendlogin(“121.199.15.237”, 8002)
sendlogin(“101.200.223.210”, 17000)
sendlogin(“121.199.14.117”, 8002)
sendlogin(“112.125.120.141”, 9000)
sendlogin(“123.57.32.93”, 9000)
end
  再如，在new59303.lua中：

3、CC攻擊類
  解密得到的yiwanm001.lua指令碼中，包含有各類UserAgent，在發起攻擊時，會隨機使用這些UserAgent來對目標網站發起訪問，此外該指令碼還將監測是否跳轉到驗證碼頁面，並自動提取Cookie完成訪問。
  隨機UA：

獲取Cookie：

這個指令碼攻擊的目標為m.yiwan.com。為了精確到指定目標，指令碼中還寫死了兩個伺服器ip。
L6_6= “http://139.199.135.131:80/”
L7_7= “http://118.89.206.177:80/”
攻擊流量截圖：

又如，攻擊指令碼jjhm77.lua指令碼中，從http://down.jjhgame.com/ip.tx…：

之後按照目標服務所需的特定格式構造隨機資料：

迴圈傳送，開始攻擊：

0x04 危害及建議
  暗雲自帶lua指令碼解析器，攻擊全程檔案不落地，具體需執行任務的db檔案也是隨時在服務端更新發布，如此增大了殺軟查殺難度。坐擁上百萬的暗雲控制端（資料來自：CNCERT[http://www.cert.org.cn/publis…]），已經可以不需要肉雞無間斷髮起連線，即可完成大規模的指向性攻擊。如此的好處便是在使用者無感的情況下，佔用使用者頻寬，完成攻擊。
  到目前為止，騰訊反病毒實驗室發現的暗雲攻擊目標大多為各類棋牌、遊戲伺服器。截止當前，暗雲控制端url已自行解析到127.0.0.1，下發url也已失效。但不確定暗雲下一次開啟時，任務db檔案中lua指令碼不會是更加惡意的功能。
  所以，騰訊電腦管家建議使用者積極採取安全防範措施：
  1、不要選擇安裝捆綁在下載器中的軟體，不要執行來源不明或被安全軟體報警的程式，不要下載執行遊戲外掛、私服登入器等軟體；
  2、定期在不同的儲存介質上備份資訊系統業務和個人資料。
  3、下載騰訊電腦管家進行“暗雲”木馬程式檢測和查殺；
0x05 附錄（暗雲攻擊過的ip地址及URL）
歷史攻擊過的IP列表：
114.64.222.26
103.254.188.247
114.64.222.27
60.5.254.82
60.5.254.81
60.5.254.47
218.29.50.40
218.29.50.39
60.221.254.229
60.221.254.230
122.143.27.170
182.106.194.83
27.155.73.17
27.155.73.16
125.89.198.29
182.106.194.84
111.47.220.47
111.47.220.46
111.20.250.133
123.128.14.174
106.59.99.46
116.55.236.92
218.5.238.249
106.59.99.47
117.27.241.114
117.27.241.181
14.215.100.76
113.12.84.24
113.12.84.23
14.215.100.75
112.90.213.51
112.90.213.52
58.223.166.19
122.5.53.120
122.5.53.121
58.51.150.40
219.146.68.119
114.80.230.238
114.80.143.223
114.80.230.237
112.25.83.28
120.221.25.169
120.221.24.125
117.148.163.80
112.25.83.29
120.221.24.126
117.148.163.79
182.140.142.40
118.123.97.16
118.123.97.17
220.165.142.221
182.140.142.39
218.76.109.67
222.243.110.83
222.243.110.82
120.221.25.170
113.5.80.249
218.60.109.79
113.5.80.248
218.60.109.80
58.51.150.52
122.246.17.9
120.199.86.132
122.228.30.147
122.228.30.38
122.228.11.175
116.211.144.70
218.11.0.9
118.178.213.63
116.211.168.169
116.31.100.147
116.31.100.3
116.31.100.144
116.31.100.148
116.31.100.170
122.246.17.15
116.211.144.240
116.211.144.129
116.211.144.242
116.211.144.206
116.211.144.238
116.211.144.239
116.211.144.219
114.215.184.159
114.215.169.190
114.215.169.97
121.41.91.65
123.56.152.5
121.199.2.34
121.199.6.149
121.199.15.237
101.200.223.210
121.199.14.117
112.125.120.141
123.57.32.93
182.86.84.236
119.167.151.218
27.221.30.113
119.188.96.111
113.105.245.107
139.224.32.159
139.224.68.202
139.224.35.106
139.196.252.62
139.224.35.175
139.196.252.245
139.224.33.199
139.224.68.48
139.224.35.132
139.196.252.61
139.224.35.188
139.199.135.131
118.89.206.177
歷史攻擊過的URL列表：
http://senios.138kkk.com
http://senand.138kkk.com
http://m.yiwan.com
http://oss.aliyuncs.com/uu919…
http://oss.aliyuncs.com/uu919…
http://senres.138kkk.com/sen/…
http://senres.138kkk.com/sen/…
http://58.51.150.52/sso/ios/f…
http://ssores.u2n0.com/sso/io…
http://pcupdate.game593.com/?…
http://senios.uts7.com
http://senand.uts7.com
http://139.199.135.131:80
http://118.89.206.177:80
0x06 參考文件
[1] 暗雲Ⅲ BootKit 木馬分析：http://www.freebuf.com/articl…
[2] 暗雲Ⅲ木馬傳播感染分析：http://www.freebuf.com/articl…
[3] 哈爾濱工業大學關於防範暗雲木馬的通知：http://www.80sd.org/guonei/20…
[4] CNCERT關於“暗雲”木馬程式有關情況通：http://www.cert.org.cn/publis…

關於騰訊安全實驗室

騰訊移動安全實驗室：基於騰訊手機管家產品服務，通過終端安全平臺、網路安全平臺和硬體安全平臺為移動產業打造雲管端全方位的安全解決方案。其中騰訊御安全專注於為個人和企業移動應用開發者，提供全面的應用安全服務。

騰訊安全反詐騙實驗室：匯聚國際最頂尖白帽黑客和多位騰訊專家級大資料人才，專注反詐騙技術和安全攻防體系研究。反詐騙實驗室擁有全球最大安全雲資料庫並服務99%中國網民。