作者:
360安全衛士
·
2015/11/08 14:04
9月初360安全團隊披露bt天堂網站掛馬事件,該網站被利用IE神洞CVE-2014-6332掛馬,如果使用者沒有打補丁或開啟安全軟體防護,電腦會自動下載執行大灰狼遠控木馬程式。
鑑於bt天堂電影下載網站訪問量巨大,此次掛馬事件受害者甚眾,360QVM引擎團隊專門針對該木馬進行嚴密監控,並對其幕後真兇進行了深入調查。
0x00 “大灰狼”的偽裝
以下是10月30日一天內大灰狼遠控的木馬樣本截圖,可以看到該木馬變種數量不少、偽裝形態更是花樣繁多。
大灰狼使用了不少知名軟體圖示,在此提醒網民在點選執行可疑來源的檔案之前,最好檢視屬性透過數字簽名判斷檔案真偽,而不要被檔名和圖示迷惑:
0x01 木馬程式分析
由於木馬樣本數量比較多,我們不一一列舉,以下提供幾例來說明:
本文用到的惡意程式碼md5:
0b1b9590ebde0aeddefadf2af8edf787
0ea5d0d826854cdbf955da3311ed6934
19c343f667a9b958f5c31c7112b2dd1b
d16e6ef8f110196e3789cce1b3074663
1、動態呼叫系統函式,躲避防毒查殺
大灰狼遠控由於長期的被防毒追殺,所以大量的使用動態呼叫系統api,來躲避查殺,所有的檔案相關操作都採用了動態呼叫的方式。
幾乎所有的樣本都需要動態的解碼才能獲取到相關的函式呼叫。
在IDA裡,我們可以看到木馬使用的手段:
2、遠端下載加密檔案,並且本地解密
木馬程式為了方便遠端的檔案更新,會把惡意程式碼放在遠端的一個伺服器中,而且會對這個檔案進行加密,需要在本地解密,然後裝載到記憶體中,在本地檔案中無法得到解密後的檔案,只有一個被加密的殘留檔案:
透過呼叫木馬本身的解密程式,我們對這個木馬的檔案進行了解密,但是木馬會把這個程式碼放在記憶體中,這是解密後抓取的相關檔案,是一個可執行的檔案:
為了方便偽裝,木馬檔案使用了其他公司的版權資訊:
3、大量增加無關函式呼叫,檢測和對抗防毒軟體
為了增加分析的難度,記憶體中抓取的檔案也是被加密的,這個檔案是程式執行的主要部分,為此我們還要繼續解密。
經過繼續的解密和分析,最終的解密檔案的內部函式呼叫是這樣的:
也有的是這樣的:
這些呼叫顯然與普通程式不同,這是一種透過大量增加類似sleep和Rectangle等跟木馬功能完全無關的api呼叫,來實現干擾防毒查殺的手段。
同時還會木馬程式還會遍歷檢測各個防毒軟體。
為了躲避殺軟的追殺,還採用了域名、網盤空間上線等上線方式:
透過以上的木馬樣本分析,我們可以看到,大灰狼遠控具有比較豐富的免殺和對抗經驗,那麼木馬作者究竟是什麼人呢?接下來,我們需要按圖索驥去追查這個木馬的來源和幕後情況。
0x02 真兇調查
在處理數百個樣本的過程中,我們逐步鎖定了一個很關鍵的域名,這個域名在上文中相信大家也看到了:ckshare.com。
透過域名查詢我們定位到了牧馬人:
透過搜尋引擎還發現了非常關鍵的資訊:一個專門銷售大灰狼木馬的網站:
我們按照帖子的提示找到了該網站:
這個網站的客服居然就是域名的所有者,顯然這個qq就是牧馬人了。
我們發現該網站貌似正規,居然還有網站的備案資訊:
透過獲取的備案域名查詢工信部網站的相關資料:
顯然這個域名和備案資訊是不一致的。那麼這個備案資訊對應的究竟是哪個域名呢?
可以看到備案資訊就是木馬的下載地址。同時下面還有一堆的域名,顯然是牧馬人留作備用的,同時我們獲取了牧馬人姓名等重要資訊。
繼續查詢這個域名的解析ip是在廣東省,然而域名相關的地址是河南,顯然牧馬人可能會有其他馬甲,繼續追查。
由於大灰狼遠控網站提供的聯絡資訊,我們進一步追查終於定位到了牧馬人的重要資訊,並假裝買主與之聯絡:
在追查的過程中,我們最終掌握了該網站的大灰狼遠控銷售狀況:
由於牧馬人採用不同的等級銷售方式,我們有理由確認這是一個資深的黑產“從業者”:
由於該牧馬人有所戒備,難以透過qq聊天套出更多資訊。不過從他炫耀的後臺管理來看,與我們監控的木馬傳播狀況是大體一致的,由此也佐證了這位木馬販子就是大灰狼遠控的幕後黑手。
0x03 安全提醒
透過此次調查,360QVM團隊逐步掌握了大灰狼遠控的主要來源,這個遠控木馬在bt天堂掛馬事件中非常猖獗,甚至把政府網站作為木馬的下載地址,長期、持續地威脅著網民的財產和資訊保安。
防範大灰狼一類遠控木馬的幾個小建議:
及時打補丁。
XP使用者一定要開啟安全軟體防護。
執行未知程式之前檢查檔案是否有正規的數字簽名。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!