從一個鎖主頁木馬裡挖出的驚天“暗殺黑名單”

wyzsk發表於2020-08-19
原文網址 : https://zhuanlan.kanxue.com/article-12456.htm
作者: 騰訊電腦管家 · 2015/11/06 9:39

0x00 概況

近日騰訊反病毒實驗室攔截到一個非常特殊木馬,該木馬整合了多種木馬的特點和技術,透過多種流氓軟體推廣傳播。其特殊之處在於:如果是普通使用者感染了該木馬,其行為是主頁被鎖;如果是黑名單中的使用者感染了該木馬,則啟動“毀滅”模式,直接篡改磁碟MBR,導致電腦無法開機。此外木馬還整合了盜號、DDOS攻擊等大量功能,雖然當前並未被啟用,但中招之後後患無窮,其行為總結如下:

1) 木馬使用“白加黑”技術躲避查殺;
2) 木馬“黑吃黑”,會清除大量的其它鎖主頁木馬;
3) 駭客透過部落格控制木馬,能夠繞過防火牆攔截;
4) 木馬以偷天換日的手段實現主頁鎖定;
5) 頑強守護,難以清除;
6) 木馬內建黑名單,能夠定點“毀滅”黑名單中的使用者;
7) 整合了鎖主頁、盜號、定點毀滅、DDOS攻擊等多種功能。

0x01 樣本分析

1、樣本資訊介紹:

該木馬利用白(酷狗exe)+ 黑(dll)+ 資料檔案的方式存在於計算機系統中,其中exe和dll檔案存在於以下目錄中,白檔名隨機,黑檔名為active_desktop_render.dll。

黑dll檔案MD5為:becd5c682061be77ec3b64b236facac9

圖1.被利用的白檔案屬性

2、樣本行為分析:

載入器active_desktop_render.dll行為:(載入器)

1)讀取C:\Program Files\Common Files\System\ado\msiod.dll,解密後得到PE1
2)在記憶體中載入PE1

PE1行為:(注入器)

1) 檢測安全軟體
2) 遍歷程式,從中查詢能夠作為傀儡程式的檔案
3) 解密出PE2,建立傀儡程式,在傀儡程式中執行PE2

PE2行為:(核心功能)

1)黑吃黑,刪除以下注冊表鍵值,使用命令列刪除指定檔案,要清除的檔案列表裡包含了大量的鎖主頁相關木馬及軟體。

圖2. 要清除的部分檔案列表和登錄檔鍵值

2)從指定的多個部落格地址獲取配置資訊,並將配置資訊儲存到登錄檔中,透過配置資訊控制,該木馬支援的功能有更新木馬、鎖主頁、盜取各種本地儲存的密碼、毀滅計算機、替換導航網站的推廣ID、DDOS攻擊等。

圖3. 從多個部落格地址獲取控制指令

圖4. 部落格內容之一

3)木馬主要功能之搶導航推廣:定時清空知名導航網站的cookie,並不斷判斷瀏覽器位址列是否為相應的導航網站,如果是,則修改其後面的推廣id。

圖5. 搶網址盜號網站的推廣

4)木馬主要功能之鎖主頁:不斷遍歷系統中的程式,一旦發現explorer建立以下列表中的瀏覽器程式,則立即將其結束,並以命令列新增網址的方式重新建立該瀏覽器程式,以偷天換日的方式實現主頁鎖定。如果使用者機器效能好,則難以發現;如果效能較差,則可辨別到瀏覽器的瞬間開啟和關閉行為。

圖6. 結束瀏覽器程式,並重新加命令列開啟實現鎖主頁

5)木馬主要功能之定點暗殺:從登錄檔Destroy鍵值下讀取配置資訊,並解密得到“黑名單”。查詢QQ視窗,獲取當前登入的QQ號碼是否在“黑名單”中,如果是,則串改MBR,直接廢掉系統,木馬當前配置的暗殺“黑名單”列表如圖所示。

圖7. 配置“毀滅黑名單”的登錄檔路徑

圖8. 加密的“黑名單”

圖9. 解密後的“黑名單”

圖10. 獲取當前登入的QQ號碼

圖11. 判斷當前登入的QQ號碼是否在黑名單中

圖12. “毀滅”系統

6)木馬功能之自動更新和DDOS攻擊(當前未配置)

7)解密出PE3,同樣透過遍歷程式查詢可當傀儡程式的檔案,建立傀儡程式,在傀儡程式中執行PE3,並守護該傀儡程式。

PE3行為:(守護)

1) 守護PE2的傀儡程式

2) 建立自啟動項,並守護登錄檔及檔案,該木馬在以下注冊表路徑下建立啟動項

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

3)檔案守護,備份資料檔案地址為C:\Program Files\Common Files\System\ado\adophp.dll,在以下路徑釋放隨機檔名的木馬檔案(白加黑)

C:\Windows\inf\
C:\Windows\Media\Heritage\

4)在關機時重新設定登錄檔和檔案路徑

0x02 後記

鎖主頁是最容易變現的網路黑產之一,單機的鎖主頁回報較低,因此鎖主頁木馬通常具有以下兩種特徵:1)傳播量大,這是鎖主頁木馬掙錢的基礎;2)難以清除,鎖主頁木馬必須長時間駐留於使用者系統中方能實現持續的變現盈利。

然而隨著鎖主頁木馬的增多及安全軟體的普及,鎖主頁木馬之間的競爭也日益激烈,比如在木馬中實現清除其它木馬的“黑吃黑”,甚至將其它黑產開發者置於暗殺“黑名單”中,對其電腦進行毀滅性打擊等。

透過對此木馬的分析我們可以發現,鎖主頁只是木馬的表面現象。任何一個木馬的存在都可能對系統的安全性構成致命的威脅,很多使用者覺得鎖主頁木馬沒什麼危害的觀念也應該改變了。如果你的主頁被鎖了,還是趕緊安裝電腦管家查殺吧。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章