“會說話的鍵盤”:一個惡意推廣木馬的詳細分析

wyzsk發表於2020-08-19
作者: 騰訊電腦管家 · 2015/11/27 12:39

0x00 背景


攔截量一夜之間從零增長到20多萬,透過回溯發現主要由“剛需”的色情播放器推廣安裝。然而分析時該軟體卻表現地很無辜——直接安裝執行,看其功能就是為了實現按下按鍵播放對應的聲音,幾乎沒有什麼惡意行為。然而經測試,其功能並不完善,點選線上升級不進行任何判斷就直接彈出當前已是最新版本的提示,這真的就是軟體的全部功能嗎?

(圖1:木馬攔截量呈爆發式增長)

0x01 樣本簡介


軟體名稱:會說話的鍵盤
檔名:Key_jpls_9181068.exe
MD5:40dd0aca08e51406179f61cbc382ea84
行為簡介:安裝時判斷自身檔名,不符合規則就彈出安裝嚮導,符合則直接靜默安裝,安裝後在%appdata%\TsanZioxs目錄下釋放如下檔案,並執行。

(圖2:安裝後釋放檔案)

其中Sound目錄下除了很多聲音檔案外,還有兩個資料檔案。

(圖3:Sound目錄下部分檔案)

執行後看著像是正常的軟體,有介面、有看似正常的功能。

(圖4:工作列建立圖示)

(圖5:點選圖示後的相關介面)

0x02 詳細分析


QcemTiosp.exe行為:

1、在工作列的通知區域建立圖示,並建立相關的介面進行偽裝,然而軟體本身並不能實現播放按鍵聲音的功能。如果符合條件,重啟機器後將不會再出現相關介面,直接在後臺執行。整個木馬程式碼中被大量加入了異常處理函式並主動丟擲異常,用於干擾分析。

(圖6)

2、建立執行緒開始木馬行為:首先獲取MAC地址,並使用雜湊演算法將MAC地址計算成一個hash值,隨後將其傳送到udp.1qingling.com.cn:2005,為了隱蔽該通訊使用UDP協議。

(圖7)

(圖8)

(圖9)

3、接收伺服器返回的資料,判斷返回的相應值,如果是0x191,則不進行任何行為。

(圖10)

4、為什麼只上傳了MAC的hash值就會返回0x191呢?難道有黑名單?或者透過MAC判斷虛擬機器?然而並不是,多次測試後發現該返回值與當前的ip地址有關係,比如在對北京、深圳、成都、杭州四個城市的測試中,發現只有北京和深圳返回了0x191,看來該木馬至少避開了北京和深圳的使用者。

(圖11)

5、如果當前城市不是要遮蔽的城市,則不再裝無辜,露出真面目,開始木馬行為:首先建立開機自啟動項長期駐紮電腦,隨後將Sound目錄下的Enter.bin檔案對映到記憶體。

(圖12)

6、經分析Enter.bin和Space.bin檔案都是經過壓縮的,壓縮相關的引數存在檔案的末尾,分別透過搜尋Space和Enter關鍵詞來定位壓縮相關引數,如下圖所示:

(圖13)

(圖14)

7、獲取到相關引數後使用zlib庫進行解壓,該木馬靜態編譯了zlib庫,版本為1.2.3

(圖15)

8、解壓成功後對檔案進行簡單的校驗,確認是PE檔案後建立自身傀儡程式,將解壓出的PE注入到傀儡程式中執行。

(圖16)

(圖17)

(圖18)

0x03 Enter.exe行為


該檔案由Enter.bin解壓而來不落地,MD5:1DCC1E25CF884AF7AF6EA3927CAB9D6E

1、下載http://config.1qingling.com/biz/810.xml配置檔案,該配置檔案經過加密,解密後內容如圖19。該木馬的主要功能分三塊,第一是流氓推廣、第二是彈窗,第三是右下角彈窗。每個功能都配置了生效時間,彈窗頻率和時間等。

(圖19)

2、解析配置檔案,根據配置檔案進行下載推廣行為。

(圖20)

(圖21推廣的檔案)

3、配置中的彈窗功能程式碼則不在此檔案中,其以載入Enter.bin相同的方式載入Space.bin檔案並在記憶體中載入,隨後將配置檔案中的引數作為命令列引數建立自身傀儡程式,將Space.bin注入執行。

(圖22)

(圖23)

0x04 Space.exe行為


該檔案由Space.bin解壓而來不落地,MD5:1DCC1E25CF884AF7AF6EA3927CAB9D6E

1、該檔案的主要功能是從命令列引數中獲取彈窗相關的引數資訊,進行彈窗行為。

(圖24)

具體彈窗行為:

1)大的彈窗廣告如圖25:對應配置檔案中的<Right>標籤

(圖25)

2)右下角彈窗廣告如圖26:對應配置檔案中的<Minimax>標籤

(圖26)

0x05 後記:


隨著安全軟體的普及,純粹木馬的生存空間越來越小,更多的木馬在看似正常的軟體中插入惡意程式碼進行偽裝,除了後臺的惡意程式碼外,其在前臺還建立了相應的偽裝介面,儘量把自己裝得單純無害,甚至還會透過ip限制等手段逃避安全廠商的分析。

該木馬的惡意推廣列表中的大部分是流氓軟體,還有少數危害嚴重的木馬程式,且待下回分析。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章