你裝的系統有毒——“蘇拉克”木馬詳細分析

wyzsk發表於2020-08-19
作者: 騰訊電腦管家 · 2015/12/31 17:49

0x00 引言

剛重灌的系統就中毒了,這是很多網友常常遇到的事,難道是中了引導區木馬?甚至bios中毒?其實沒那麼複雜,很可能是你安裝的系統自帶了木馬。

0x01 “蘇拉克”木馬簡介

“蘇拉克”木馬是2015下半年來持續爆發的木馬,該木馬感染了大量的計算機,其主要傳播釋放是直接在ghost映象中植入木馬,然後將ghost映象上傳到大量網站提供給使用者下載,此外,近期也發現該木馬的win8、win10版本透過oem啟用工具植入使用者電腦中。由於該木馬的主要模組名為“surak.sys”,且透過分析得知該木馬的專案名稱即為“surak”,因此將其取名“蘇拉克”木馬。

0x02 “蘇拉克”木馬特點

  1. 傳播渠道隱蔽,由於該木馬被直接植入到ghost映象中,使用者一安裝系統就自帶該木馬,而此時尚未安裝任何安全軟體,因此木馬的傳播過程完全不在監控中。
  2. 影響使用者多,由於大量網站傳播該類ghost映象,且此類網站投入了大量推廣費進行推廣,普通使用者透過搜尋引擎找到的映象下載站幾乎全是帶木馬的。此類映象涵蓋了“雨林木風”、“深度技術”、“電腦公司”、“蘿蔔家園”、“番茄花園”等主流ghost。
  3. 難以清除,由於木馬進入系統時間比安全軟體早,掌握了主動權,對其後安裝的安全軟體做了大量的功能限制,使其大量功能無法正常使用,如安全防護無法開啟、信任列表被惡意操作等,導致難以檢測和清除木馬。
  4. 對使用者電腦安全威脅大,“蘇拉克”木馬除了鎖定瀏覽器主頁獲利外,還會實時連線雲端獲取指令,能夠下載其它木馬到本地執行,給系統安全造成了極大的威脅。此外,針對64位系統,該木馬還會修改系統核心檔案,使得64位系統自帶的驅動簽名校驗、核心防鉤子等安全機制全部失效。

p1 圖1. “蘇拉克”木馬產業鏈示意圖

0x03 “蘇拉克”木馬行為分析

“蘇拉克”木馬的功能主要分為4大模組,即核心Rootkit模組、應用層主體模組、應用層載入器模組、應用層上報模組。模組分工明確,可擴充性強,配置靈活,且所有的通訊都使用高強度加密演算法加密(AES & RSA),該木馬有xp版、win7版、win8版、win10版,除xp版外其它版本又分為32位版本和64位版本,每個版本功能基本一致,以下以xp版本為例進行分析,其它版本行為類似。

透過各個模組分工協作,該木馬完成了主頁鎖定、雲端控制、外掛下載、對抗安全軟體等功能。

p2

1、啟動模組行為(MD5:a3c79b97bdea22acadf951e0d1b06dbf)

qidong32.dll的功能單一,其被註冊成系統元件,開機時隨系統啟動,由Explorer.exe程式載入執行。該檔案被載入後首先判斷自己是否位於explorer.exe程式或者regsvr32.exe程式中,若是,則啟動system32\drivers\UMDF\boot.exe檔案。該檔案是木馬的主體檔案,預置在帶毒的Ghost系統中。

p3 圖3

p4 圖4

2、主體模組行為(MD5:bf47d80de3852e7ef6b86ac213e46510)

Boot.exe檔案是該木馬的主體模組,主要負責定時從雲端下載最新的配置資訊及負責其它模組的排程、外掛下載、資料傳遞等。

  1. 執行後首先從雲端下載http://xp.xitongzhu.com/2.0xpFileList.dl檔案,該檔案使用AES加密,金鑰為“DownloadKey”,顧名思義該配置檔案與下載相關,解密後的該檔案如圖5所示,主要包含要下載的檔案列表、檔案型別、本地儲存路徑等。

    p5 圖5.解密後的2.0xpFileList.dl

  2. 解析配置檔案,並進行相應的下載,下載完成後根據型別進行Load或者Exec。

    p6 圖6

  3. 完成以上行為後,將下載成功後的檔案路徑按一定格式儲存,並使用AES加密(金鑰:dl_encrypt)儲存在C:\Windows\System32\drivers\UMDF\dllist檔案中,即外掛列表。

    p7 圖7. 儲存外掛列表

  4. 下載http://xp.xitongzhu.com/2.0xpSurakConfig.cfg到記憶體中,該檔案是木馬的配置檔案,下載後計算配置檔案的MD5值,並與C:\Windows\System32\drivers\UMDF\hash\config中儲存的值進行比較,以判斷配置檔案是否更新,如果更新則將其傳給surak.sys

    p8 圖8. 下載配置檔案並比較MD5

  5. 該配置檔案分為三部分,分別使用AES進行加密,金鑰均為“ConfigEncryptKey”,解密後的單個配置資訊結構大致如圖9所示。

    p9 圖9. 配置資訊資料結構

  6. 配置檔案對應的木馬功能分別如下:

    • 登錄檔隱藏:阻止列表程式訪問指定的登錄檔路徑(圖10)
    • 檔案隱藏攔截驅動載入:阻止列表程式訪問指定檔案,攔截指定驅動載入(圖11、13)
    • 程式隱藏三部分:當列表程式列舉系統程式列表時隱藏指定程式(圖12)

    p10 圖10. 登錄檔相關的配置資訊

    p11 圖11. 檔案操作相關的配置資訊

    p12 圖12. 程式隱藏相關配置資訊

    p13 圖13. 阻止驅動載入的相關配置資訊

  7. 解密完配置檔案後,依次將其加密後傳遞給核心surak.sys完成相應功能。

    p14 圖14. 將配置資訊傳遞給surak.sys

3、Rootkit模組行為(MD5:8bb5cdc10c017d0c22348d2ada0ec1dc)

  1. 掛鉤NtQuerySystemInformation函式,對應隱藏程式功能。在win7等64位系統中,由於“蘇拉克”木馬patch了系統的核心檔案,因此掛鉤此函式也不會引起藍色畫面。

    p15 圖15

  2. 註冊LoadImage回撥,透過此回撥函式,攔截指定sys檔案載入,其攔截方式直接將DriverEntry初程式碼改成返回指令。

    p16 圖16

  3. 註冊CmpCallback回撥,對應登錄檔隱藏功能。

    p17 圖17

  4. 掛鉤IofCallDriverIoCreateFileSpecifyDeviceObjectHint,對應檔案隱藏功能

    p18 圖18

    p19 圖19. 在x64版本的系統中,為了能夠Hook核心,系統的核心檔案被篡改

4、上報模組行為(MD5:595738d7ca9291a3d3322039bb4dc960)

tj.dll檔案主要用於上報,其主要功能是收集機器資訊、木馬版本資訊、木馬配置資訊等,使用RSA做非對稱加密,將資訊上傳到服務端。

p20 圖20

5、木馬其它模組(外掛)行為

  1. ielock32.dll(MD5:fadb57ff6fbfaf5f7f09e83d0de4a2ed)用於鎖定瀏覽器主頁。該檔案插入到explorer中,並透過掛鉤程式建立函式,以新增命令列的方式鎖主頁。

  2. subooa.sys、suboob.sys、subooc.sys(MD5:e94faf79a7681b33b903cceb1580d7c4)這三個驅動檔案都會被載入到核心中,但只是一個空的工程,未見惡意程式碼。

0x04 傳播渠道探索

“蘇拉克”直接植入到ghost系統映象中,其傳播渠道主要是透過推廣ghost系統傳播擴散。從10月份以來,反病毒實驗室監控到大量的傳播帶毒映象的網站,此類網站一般偽裝成“系統之家”網站,並透過搜尋推廣或者直接刷搜尋引擎來使自身排名靠前。此外各大裝機相關的論壇,佈滿了帶毒ghost系統的推廣帖,吸引大量網友上鉤。

p21 圖21. 偽裝成系統之家的帶毒ghost下載站

p22 圖22. 透過廣告或者刷排名來使自己排名靠前

p23 圖23. 透過論壇發帖推廣帶毒ghost系統

0x05 結語

隨著安全軟體的普及和防護能力的強化,木馬想繞過安全軟體的防護深入使用者系統變得非常困難,因此黑產從業者們想方設法讓自己先於安全軟體進入使用者的系統,並借先入之機大肆破壞後來安裝的安全軟體,從而達到霸佔使用者電腦並利用使用者電腦實現盈利的目的。近期,騰訊反病毒實驗室對透過國內各大搜尋引擎查詢“ghost”、“ghost xp”、“ghost win7”等關鍵詞排名前10的ghost映象全部進行下載安裝分析,發現90%以上的ghost映象都是帶有木馬的。管家在此建議使用者選擇正規渠道安裝作業系統,透過下載ghost映象安裝系統雖然快速省事,但其安全性,確實很令人擔憂。

0x06 附錄

目前已經發現透過各種渠道推廣的帶毒ghost映象下載站列表,目前管家已攔截相關網站,大家下載相關檔案時注意避開這些網站。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章