9月初360安全團隊披露bt天堂網站掛馬事件，該網站被利用IE神洞CVE-2014-6332掛馬，如果使用者沒有打補丁或開啟安全軟體防護，電腦會自動下載執行大灰狼遠控木馬程式。

鑑於bt天堂電影下載網站訪問量巨大，此次掛馬事件受害者甚眾，360QVM引擎團隊專門針對該木馬進行嚴密監控，並對其幕後真兇進行了深入調查。

0x00 “大灰狼”的偽裝

---

以下是10月30日一天內大灰狼遠控的木馬樣本截圖，可以看到該木馬變種數量不少、偽裝形態更是花樣繁多。

大灰狼使用了不少知名軟體圖示，在此提醒網民在點選執行可疑來源的檔案之前，最好檢視屬性透過數字簽名判斷檔案真偽，而不要被檔名和圖示迷惑：

0x01 木馬程式分析

---

由於木馬樣本數量比較多，我們不一一列舉，以下提供幾例來說明：

本文用到的惡意程式碼md5:

0b1b9590ebde0aeddefadf2af8edf787
0ea5d0d826854cdbf955da3311ed6934
19c343f667a9b958f5c31c7112b2dd1b
d16e6ef8f110196e3789cce1b3074663

1、動態呼叫系統函式，躲避防毒查殺

大灰狼遠控由於長期的被防毒追殺，所以大量的使用動態呼叫系統api，來躲避查殺，所有的檔案相關操作都採用了動態呼叫的方式。

幾乎所有的樣本都需要動態的解碼才能獲取到相關的函式呼叫。

在IDA裡，我們可以看到木馬使用的手段：

2、遠端下載加密檔案，並且本地解密

木馬程式為了方便遠端的檔案更新，會把惡意程式碼放在遠端的一個伺服器中，而且會對這個檔案進行加密，需要在本地解密，然後裝載到記憶體中,在本地檔案中無法得到解密後的檔案，只有一個被加密的殘留檔案：

透過呼叫木馬本身的解密程式，我們對這個木馬的檔案進行了解密，但是木馬會把這個程式碼放在記憶體中，這是解密後抓取的相關檔案，是一個可執行的檔案：

為了方便偽裝，木馬檔案使用了其他公司的版權資訊：

3、大量增加無關函式呼叫,檢測和對抗防毒軟體

為了增加分析的難度，記憶體中抓取的檔案也是被加密的，這個檔案是程式執行的主要部分，為此我們還要繼續解密。

經過繼續的解密和分析，最終的解密檔案的內部函式呼叫是這樣的：

也有的是這樣的：

這些呼叫顯然與普通程式不同，這是一種透過大量增加類似sleep和Rectangle等跟木馬功能完全無關的api呼叫，來實現干擾防毒查殺的手段。

同時還會木馬程式還會遍歷檢測各個防毒軟體。

為了躲避殺軟的追殺，還採用了域名、網盤空間上線等上線方式：

透過以上的木馬樣本分析，我們可以看到，大灰狼遠控具有比較豐富的免殺和對抗經驗，那麼木馬作者究竟是什麼人呢？接下來，我們需要按圖索驥去追查這個木馬的來源和幕後情況。

0x02 真兇調查

---

在處理數百個樣本的過程中，我們逐步鎖定了一個很關鍵的域名，這個域名在上文中相信大家也看到了：ckshare.com。

透過域名查詢我們定位到了牧馬人：

透過搜尋引擎還發現了非常關鍵的資訊：一個專門銷售大灰狼木馬的網站：

我們按照帖子的提示找到了該網站：

這個網站的客服居然就是域名的所有者，顯然這個qq就是牧馬人了。

我們發現該網站貌似正規，居然還有網站的備案資訊：

透過獲取的備案域名查詢工信部網站的相關資料：

顯然這個域名和備案資訊是不一致的。那麼這個備案資訊對應的究竟是哪個域名呢？

可以看到備案資訊就是木馬的下載地址。同時下面還有一堆的域名，顯然是牧馬人留作備用的，同時我們獲取了牧馬人姓名等重要資訊。

繼續查詢這個域名的解析ip是在廣東省，然而域名相關的地址是河南，顯然牧馬人可能會有其他馬甲，繼續追查。

由於大灰狼遠控網站提供的聯絡資訊，我們進一步追查終於定位到了牧馬人的重要資訊，並假裝買主與之聯絡：

在追查的過程中，我們最終掌握了該網站的大灰狼遠控銷售狀況：

由於牧馬人採用不同的等級銷售方式，我們有理由確認這是一個資深的黑產“從業者”：

由於該牧馬人有所戒備，難以透過qq聊天套出更多資訊。不過從他炫耀的後臺管理來看，與我們監控的木馬傳播狀況是大體一致的，由此也佐證了這位木馬販子就是大灰狼遠控的幕後黑手。

0x03 安全提醒

---

透過此次調查，360QVM團隊逐步掌握了大灰狼遠控的主要來源，這個遠控木馬在bt天堂掛馬事件中非常猖獗，甚至把政府網站作為木馬的下載地址，長期、持續地威脅著網民的財產和資訊保安。

防範大灰狼一類遠控木馬的幾個小建議：

1. 及時打補丁。

2. XP使用者一定要開啟安全軟體防護。

3. 執行未知程式之前檢查檔案是否有正規的數字簽名。