Free Star木馬分析與追溯

wyzsk發表於2020-08-19
原文網址 : https://zhuanlan.kanxue.com/article-12579.htm
作者: 360安全衛士 · 2016/04/05 14:07

Author:360天眼實驗室

0x00 引子

人在做,天在看。

360天眼實驗室一直與各種木馬遠端做鬥爭,對手總是試圖找到辦法使自己處於安全監視者的雷達之外。近期我們看到了一些較新版本的大灰狼木馬採用了一種新的上線方式,與利用QQ空間、微博、部落格或者網盤等方式上線相似,其透過呼叫QQ一個獲取使用者暱稱的介面來獲取上線地址,又一種透過正常通訊渠道進行非正常通訊的企圖。

p1

p2

當一個方法被證明有效,很容易就會被其他造馬者“借鑑”。透過基於360威脅情報中心資料的關聯性分析,我們發現了一個名為Free Star的木馬也採用了這種上線方式,該木馬最早出現於2015年2月左右,作者從2015年5月開始在各個免殺論壇售賣原始碼,而新版本活動時間就在2016年1月份至今。其部分程式碼結構和Gh0st、大灰狼的程式碼比較相似,可以認為是那些遠控的衍生版本。

下圖為從某免殺論壇下載到的Free Star木馬控制端,可以看見配置Server端中需要將IP地址加密後設定成QQ暱稱,然後由服務端透過訪問對應的介面來獲取QQ暱稱,進而解密出木馬上線的IP地址:

p3

訪問的介面如下:

p4

今天我們要分析的物件就是這個名為Free Star的木馬,這個也是360天眼實驗室新晉小夥伴的處女作。

0x01 樣本分析

樣本資訊基本識別資訊如下,供同行們參考。

木馬檔案MD5: c3d7807f88afe320516f80f0d33dc4f3、a1bb8f7ca30c4c33aecb48cc04c8a81f

分析得到木馬主要行為總結:

  • 新增服務項,開啟服務,轉移自身檔案
  • 用gethostbyname函式獲取上線地址或訪問QQ暱稱介面獲取木馬上線地址,並進行網路連線
  • 檢測殺軟程式
  • 開啟執行緒接收指令,執行遠控功能

新增服務項,開啟服務,轉移自身檔案

木馬首先判斷是否已經註冊了服務項,如果沒有註冊,進入自複製、建立服務的流程:

p5

建立服務

p6

p7

呼叫StartServiceA開啟服務,進入主功能流程

p8

在複製自身,移動到%appdata%中指定目錄

p9

建立自刪除指令碼並執行,用於刪除自身檔案以隱藏自身

p10

p11

指令碼內容如下:

P12

獲取上線地址

以服務項啟動進入時,透過登錄檔對應的項判斷服務是否存在,決定是否進入開始進行網路連線。

p13

解密動態域名、QQ號、埠號:

解密演算法是Base64解碼後,異或0x88 ,加0x78,再異或0x20

p14

獲取IP地址

p15

p16

如果第一種方式不成功,則透過訪問QQ暱稱介面獲取IP地址:

p17

p18

獲取到的QQ暱稱為: deacjaikaldSS

p19

對獲取到的QQ暱稱解密:解密演算法是 + 0xCD

p20

解密後取得IP地址為: 1.207.68.91 ,開始連線:

p21

迴圈連線這兩個地址直到連線成功,連線成功後進入遠控流程

獲取受害者系統資訊

首先獲取主機名

p22

獲取CPU型號

p23

獲取其他資訊等等

p24

遍歷程式,查詢殺軟程式

p25

檢查殺軟的程式名用一個雙字陣列來儲存,每個雙字的值是指向對應殺軟程式名的字串的指標。如下:

p26

p27

建立新執行緒,用於迴圈等待接收遠控指令

p28

最後建立一個新的執行緒,用於接收遠控指令,主要的功能有遠端檔案管理、遠端Shell、螢幕監控、鍵盤記錄等等,這裡就不再贅述了。

程式碼整體流程圖如下:

p28

0x02 幕後黑手

這種透過QQ暱稱獲取上線地址的方式在躲避檢測的同時也暴露了放馬者的QQ號,我們在透過樣本拿到的QQ號中找到了一個比較特殊的:550067654

p29

透過搜尋引擎,我們發現這個QQ號有可能是木馬作者的一個業務QQ號,這個QQ在多個免殺論壇上註冊了賬號,經過進一步的確認,發現其的確是木馬作者:

p30

p31

p32

從作者在某論壇上展示的木馬功能截圖可以發現,其曾經在貴州畢節地區活動。

p33

p34

我們還發現作者用QQ郵箱賬號註冊了支付寶賬號,透過支付寶賬號的資訊,發現作者的名字可能是: *怡

p35

透過某社工庫,我們找到了作者經常使用的qq郵箱和密碼,透過這條線索,我們找到了更多的資訊:

p36

在某商城發現了幾筆訂單資訊,從而取到作者的名字、常在地區:

p37

p38

p39

p40

從身份證資訊來看,確定作者是貴州畢節地區的人,名字就叫田怡。這也與上面獲得的資訊一致。

關於木馬作者的追蹤到此就告一段落了,有興趣的同學們可以繼續深挖,用一張天眼威脅情報中心資料關聯絡統生成的關係圖來結束此次挖人之旅。

p41

0x03 傳播途徑

分析完樣本和木馬作者之後,我們再看看該類木馬的傳播途徑。

在我們捕獲到的眾多樣本中,有一個樣本訪問的地址引起了我們的注意,透過關聯,發現這是一些掛機、點選軟體訪問的地址,http://sos.hk1433.cc:10089/bbs.html

p42

開啟網頁後,檢視原始碼,如下:

p43

可以看到,這個頁面載入了一個swf檔案。將這個swf檔案下載後開啟,發現是Hacking Team的flash漏洞利用,下圖紅色框出的部分就是ShellCode:

p44

ShellCode的功能就是一個Dropper,會將之前解密出來的PE釋放並執行,而這個PE檔案正是Free Star木馬。

解密前的PE檔案:

p45

解密後:

p46

ShellCode:

p47

p48

由此我們可以知道,該木馬的傳播方式之一即是透過網頁掛馬。

p49

透過上圖可以看到掛馬頁面在3月28日上午9點上傳,截至我們寫這份報告的時間,3月29下午16點,點選量已經有13000多,而這僅僅只是冰山一角,但是在這裡就不再深入。在我們的360威脅情報中心可以很容易地透過關聯域名查詢到對應的樣本:

p50

0x04 總結

透過這次分析,我們發現這個木馬本身所用到的技術相當普通,與之前發現的木馬基本一脈相承,體現出迭代化的演進。由於巨大的利益驅動,黑產始終保有對技術和機會的高度敏感,就象任何先進的技術首先會被用於發展武器一樣,成熟可靠的漏洞利用技術及躲避檢測的方案几乎肯定會立刻被黑產所使用傳播。360威脅情報中心的資料基礎以及自動化的關聯分析為我們從樣本分析、關係判定、來源追溯提供全方位的資訊支援,成為我們用來對抗黑產以及其他高階攻擊的強有力的武器。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章