警惕 雲控廣告“遊戲盒子”死灰復燃

wyzsk發表於2020-08-19
作者: 360安全衛士 · 2015/10/15 17:21

近日,360網際網路安全中心攔截了大量可疑流氓推廣樣本,這些樣本偽裝成遊戲盒子,安裝後接收雲端指令,會強制下載推廣軟體,彈窗,修改主頁,透過使用者的電腦賺取大量的利益,本文將對此樣本詳細分析.

0x00 概述


該木馬透過下載站捆綁傳播,安裝後潛伏25分鐘,25分鐘後向伺服器傳送機器資訊(系統版本,軟體版本號等),收到指令後下載推廣軟體和刷流量軟體,系統重啟後靜默安裝同時啟動刷流量的軟體,佔用系統大量資源和流量.總感染量達數千萬.

0x01 樣本資訊


圖 1 安裝包

Setup11009.exe

檔案大小: 362752 位元組

MD5 e20ecf2a617ae0a063b49668a64577ec

安裝包和程式都使用同一個簽名

0x02 行為分析


1) 安裝後目錄結構:

圖 2 目錄結構

2) 程式列表中:

程式名為 gmbox Redistributable Package(kb20140526) ,偽裝成Windows補丁包程式

時間為真實安裝時間的一年前

圖 3 控制皮膚-解除安裝程式-顯示

3) 開始選單顯示為 GXBox遊戲

圖 4 開始選單

4) 托盤顯示圖示

圖 5 托盤圖示

5) 開啟後,偽裝成遊戲廣告

圖 6 主介面

6) 新增服務,名稱為GmXbox_update, dll路徑指向安裝目錄下的gmbox.dll

圖 7 服務名稱

圖 8 服務DLL路徑

7) 在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run新增啟動項,引數為 -tray,每次啟動不顯示主介面,只有托盤圖示

圖 9 啟動項

8) 安裝後25分鐘,在臨時目錄下載了數個廣告軟體和安裝程式

圖 10 下載安裝包

圖 11 臨時目錄中下載的安裝包

其中

  1. ir56.exe 呼叫下載的廣告程式安裝包.
  2. hw.dat 遍歷安裝程式,使其視窗隱藏.
  3. ck.dat 刷網站流量.

這3個程式的PE頭被修改,防止被殺軟查殺.

圖 12 修改後的PE頭

其他為廣告軟體安裝程式.

系統重啟後,廣告程式全部都靜默安裝

0x03 技術細節


1) 安裝過程:

A) 安裝包使用NSIS打包

首先,禁用常用程式的快速啟動工作列顯示,為後面安裝軟體留位置

WriteRegStr HKCR Applications\$_gmbox_.exe NoStartPage ""
WriteRegStr HKCR Applications\uninstall.exe NoStartPage ""
WriteRegStr HKCR Applications\uninstall.exe NoStartPage ""
WriteRegStr HKCR Applications\rsmain.exe NoStartPage ""
WriteRegStr HKCR Applications\360sd.exe NoStartPage ""
WriteRegStr HKCR Applications\rsagent.exe NoStartPage ""
WriteRegStr HKCR Applications\360safe.exe NoStartPage ""
WriteRegStr HKCR Applications\rsmctray.exe NoStartPage ""
WriteRegStr HKCR Applications\kav.exe NoStartPage ""
WriteRegStr HKCR Applications\rsstub.exe NoStartPage ""
WriteRegStr HKCR Applications\SHPlayer.exe NoStartPage ""
WriteRegStr HKCR Applications\wandoujia.exe NoStartPage ""
WriteRegStr HKCR Applications\wandoujia2.exe NoStartPage ""
WriteRegStr HKCR Applications\Uninst.exe NoStartPage ""

B) 刪除桌面和IE中的網址導航快捷方式

Delete $DESKTOP\*123*.lnk
Delete $DESKTOP\*123*.url
Delete $DESKTOP\*Int*.lnk
Delete $DESKTOP\*Int*.url
Delete $DESKTOP\*1nt*.lnk
Delete $DESKTOP\*1nt*.url
Delete $DESKTOP\*網址*.lnk
Delete $DESKTOP\*網址*.url
Delete $DESKTOP\*導航*.lnk
Delete $DESKTOP\*導航*.url    

Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*123*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*123*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*Int*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*Int*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*1nt*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*1nt*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*網址*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*網址*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*導航*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*導航*.url"
Delete $INSTDIR\ad.dat

C) 呼叫gmbox.dll的Install函式,安裝服務

圖 13 安裝指令碼-呼叫gmbox.dll Install函式

D) 修改安裝時間為當前時間的前1年.

圖 14 安裝指令碼-修改安裝時間

2) 主程式 gmbox.exe

A) 傳送客戶資訊資料包: 內容包括PID(用於識別客戶端),推廣渠道ID,版本號,當前時間

圖 15 資料包

B) 加密後Post到 http://sj.go2050.com/rcsj.ashx

圖 16 post資料

C) 註冊雲控命令處理函式,可以看到有獲取作業系統版本,執行任務,開啟URL,執行雲控命令,讀取登錄檔,獲取和設定主頁等功能.

圖 17 註冊雲控命令相應函式

D) 其中doTask1函式中接收到URL然後下載檔案到臨時目錄

圖 18 下載廣告軟體

E) 獲取廣告軟體指令單,id=11009猜測可能是渠道號

圖 19 獲取指令單

其中帶有-kboxsvc標記的(即ir56.exe)是安裝軟體.

F) 下載完成後把ir56.exe路徑加密後, 新增到gmbox安裝目錄下的gmbox.ini檔案nrd欄位

圖 20 加密後的ir56.exe路徑

3) 服務程式 gmbox.dll

A) SERVICE_CONTROL_SHUTDOWN事件響應函式:

當系統關機時,函式執行,讀取gmbox.ini中的nrd欄位,即安裝程式ir56.exe的路徑,解密後設定RunOnce啟動項.

圖 21 設定ir56.exe啟動項

B) 遍歷下載的檔案,判斷PE檔案標誌,如果是修改過的exe,則恢復MZ和PE標記

圖 22 還原PE檔案

C) 新增啟動項,不顯示主介面,只有托盤圖示

圖 23 新增gmbox.exe啟動項

D) 新增系統服務

圖 24 建立gmbox update服務

E) 判斷是否有除錯程式,沒有則以 -g引數啟動gmbox.exe,自動升級程式.

圖 25 遍歷檢測是否有指定程式

F) 加密後的檢測程式名稱列表

圖 26 加密後的程式名稱

G) dll還可以向指定網站透過SOAP協議獲取捆綁軟體的資料,彈窗資料,統計活躍資料,採集主機的資訊.記錄安裝和解除安裝的資料等

圖 27 呼叫採集介面

圖 28 獲取和採集資料介面說明

0x04 意外發現


在軟體獲取最新版本號的地址 http://dh.go2050.com/download/version.xml 的上層目錄中我們發現了anote(多彩便籤)的安裝包,下載後分析判定和gmbox高度相似.

圖 29 anote安裝包下載

1) 註冊雲控命令處理函式

圖 30 gmbox註冊雲控命令處理函式

圖 31 anote註冊雲控命令處理函式

2) 字串加密函式

圖 32 gmbox.dll 字串加密函式

圖 33 anote.dll 字串加密函式

3) 加密的字串表

圖 34 gmbox.dll 加密的字串表

圖 35 anote.dll 加密的字串表

這個字串列表被_UnInstall函式引用,用於判斷是使用者手動解除安裝還是第三方管理軟體解除安裝,並把結果傳送到伺服器做統計.

圖 36 判斷是否是使用者手動解除安裝

圖 37 構建傳送字串

圖 38 傳送統計資料

圖 39 安裝攔截

總結: 透過分析我們發現,該木馬新增了系統服務,啟動後過一段時間才觸發行為,下載的安裝程式去除了PE特徵,以此逃過殺軟掃描,系統關機時恢復PE檔案,重啟後安裝推廣軟體,潛伏性、隱蔽性較強,中招之後較難發現,建議使用者安裝專業的安全軟體,養成良好的上網習慣,從正規下載網站或者軟體管家下載軟體,不要執行來歷不明的軟體.安裝軟體時注意取消預設勾選的捆綁軟體.

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章