從一個鎖主頁木馬裡挖出的驚天“暗殺黑名單”
0x00 概況
近日騰訊反病毒實驗室攔截到一個非常特殊木馬,該木馬整合了多種木馬的特點和技術,透過多種流氓軟體推廣傳播。其特殊之處在於:如果是普通使用者感染了該木馬,其行為是主頁被鎖;如果是黑名單中的使用者感染了該木馬,則啟動“毀滅”模式,直接篡改磁碟MBR,導致電腦無法開機。此外木馬還整合了盜號、DDOS攻擊等大量功能,雖然當前並未被啟用,但中招之後後患無窮,其行為總結如下:
1) 木馬使用“白加黑”技術躲避查殺;
2) 木馬“黑吃黑”,會清除大量的其它鎖主頁木馬;
3) 駭客透過部落格控制木馬,能夠繞過防火牆攔截;
4) 木馬以偷天換日的手段實現主頁鎖定;
5) 頑強守護,難以清除;
6) 木馬內建黑名單,能夠定點“毀滅”黑名單中的使用者;
7) 整合了鎖主頁、盜號、定點毀滅、DDOS攻擊等多種功能。
0x01 樣本分析
1、樣本資訊介紹:
該木馬利用白(酷狗exe)+ 黑(dll)+ 資料檔案的方式存在於計算機系統中,其中exe和dll檔案存在於以下目錄中,白檔名隨機,黑檔名為active_desktop_render.dll。
黑dll檔案MD5為:becd5c682061be77ec3b64b236facac9
圖1.被利用的白檔案屬性
2、樣本行為分析:
載入器active_desktop_render.dll行為:(載入器)
1)讀取C:\Program Files\Common Files\System\ado\msiod.dll,解密後得到PE1
2)在記憶體中載入PE1
PE1行為:(注入器)
1) 檢測安全軟體
2) 遍歷程式,從中查詢能夠作為傀儡程式的檔案
3) 解密出PE2,建立傀儡程式,在傀儡程式中執行PE2
PE2行為:(核心功能)
1)黑吃黑,刪除以下注冊表鍵值,使用命令列刪除指定檔案,要清除的檔案列表裡包含了大量的鎖主頁相關木馬及軟體。
圖2. 要清除的部分檔案列表和登錄檔鍵值
2)從指定的多個部落格地址獲取配置資訊,並將配置資訊儲存到登錄檔中,透過配置資訊控制,該木馬支援的功能有更新木馬、鎖主頁、盜取各種本地儲存的密碼、毀滅計算機、替換導航網站的推廣ID、DDOS攻擊等。
圖3. 從多個部落格地址獲取控制指令
圖4. 部落格內容之一
3)木馬主要功能之搶導航推廣:定時清空知名導航網站的cookie,並不斷判斷瀏覽器位址列是否為相應的導航網站,如果是,則修改其後面的推廣id。
圖5. 搶網址盜號網站的推廣
4)木馬主要功能之鎖主頁:不斷遍歷系統中的程式,一旦發現explorer建立以下列表中的瀏覽器程式,則立即將其結束,並以命令列新增網址的方式重新建立該瀏覽器程式,以偷天換日的方式實現主頁鎖定。如果使用者機器效能好,則難以發現;如果效能較差,則可辨別到瀏覽器的瞬間開啟和關閉行為。
圖6. 結束瀏覽器程式,並重新加命令列開啟實現鎖主頁
5)木馬主要功能之定點暗殺:從登錄檔Destroy鍵值下讀取配置資訊,並解密得到“黑名單”。查詢QQ視窗,獲取當前登入的QQ號碼是否在“黑名單”中,如果是,則串改MBR,直接廢掉系統,木馬當前配置的暗殺“黑名單”列表如圖所示。
圖7. 配置“毀滅黑名單”的登錄檔路徑
圖8. 加密的“黑名單”
圖9. 解密後的“黑名單”
圖10. 獲取當前登入的QQ號碼
圖11. 判斷當前登入的QQ號碼是否在黑名單中
圖12. “毀滅”系統
6)木馬功能之自動更新和DDOS攻擊(當前未配置)
7)解密出PE3,同樣透過遍歷程式查詢可當傀儡程式的檔案,建立傀儡程式,在傀儡程式中執行PE3,並守護該傀儡程式。
PE3行為:(守護)
1) 守護PE2的傀儡程式
2) 建立自啟動項,並守護登錄檔及檔案,該木馬在以下注冊表路徑下建立啟動項
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
3)檔案守護,備份資料檔案地址為C:\Program Files\Common Files\System\ado\adophp.dll,在以下路徑釋放隨機檔名的木馬檔案(白加黑)
C:\Windows\inf\
C:\Windows\Media\Heritage\
4)在關機時重新設定登錄檔和檔案路徑
0x02 後記
鎖主頁是最容易變現的網路黑產之一,單機的鎖主頁回報較低,因此鎖主頁木馬通常具有以下兩種特徵:1)傳播量大,這是鎖主頁木馬掙錢的基礎;2)難以清除,鎖主頁木馬必須長時間駐留於使用者系統中方能實現持續的變現盈利。
然而隨著鎖主頁木馬的增多及安全軟體的普及,鎖主頁木馬之間的競爭也日益激烈,比如在木馬中實現清除其它木馬的“黑吃黑”,甚至將其它黑產開發者置於暗殺“黑名單”中,對其電腦進行毀滅性打擊等。
透過對此木馬的分析我們可以發現,鎖主頁只是木馬的表面現象。任何一個木馬的存在都可能對系統的安全性構成致命的威脅,很多使用者覺得鎖主頁木馬沒什麼危害的觀念也應該改變了。如果你的主頁被鎖了,還是趕緊安裝電腦管家查殺吧。
相關文章
- 從剖析cs木馬生成到開發免殺工具
- 一個不坐旋轉木馬的朋友
- 一個支付寶木馬的分析溯源之旅
- 伺服器SSH後門木馬查殺伺服器
- 騰訊主機安全(雲鏡)兵器庫:斬殺挖礦木馬的利劍-BinaryAI引擎AI
- 一封時效永久追殺令:白帽Cryptolaemus狙擊Emotet木馬的500個日夜
- 《騎馬與砍殺2:領主》 開發者日誌(3): 驚喜派對
- 硬體木馬(一)
- 一句木馬
- 高科技犯罪:東歐ATM取款機驚現木馬!
- 寫了一個 SRE 除錯工具,類似一個小木馬除錯
- linux伺服器上使用find查殺webshell木馬方法Linux伺服器Webshell
- 《陰暗森林》:一條驚心動魄的歸家之路
- 實現一個頁面鎖屏的功能
- 一句話木馬免殺(截止2020年8月16日通殺D盾、安全狗,微步,webshellKiller)Webshell
- 【實踐思考】自己開發一個掘金黑名單功能外掛
- 一個月內發現的第六起 Linux DDoS 木馬Linux
- 使用天翼雲主機組功能讓雲主機不放在同一個籃子裡
- MySQL主從同步(一主一從、一主多從、主從從)等結構的概述與配置MySql主從同步
- 記錄一次木馬排查
- 從零搭建一個IdentityServer——單頁應用身份驗證IDEServer
- Laravel忽略白名單和黑名單Laravel
- 殺鎖
- 專訪《騎馬與砍殺》之父:從“土耳其牒販子”到“遊戲領主”遊戲
- 木馬學習
- 木牛流馬
- BetaBot 木馬分析
- 一次minerd肉雞木馬的排查思路
- 簡單弄一個-個人主頁
- 當“暗殺”成為一種藝術形式:《殺手》中的“沙盒式謎題”思維
- “會說話的鍵盤”:一個惡意推廣木馬的詳細分析
- “您的主機已被接管!”新型 JavaScript 遠控木馬花樣來襲JavaScript
- 德瑪西亞黑名單
- 磨針記1——從*外殺馬說起
- 偷天換日——新型瀏覽器劫持木馬“暗影鼠”分析瀏覽器
- 【mysql】mysql的資料庫主從(一主一從)MySql資料庫
- 記一次與挖礦木馬的較量
- MySQL 主從配置-之-一主一從MySql