利用第三方軟體 0day 漏洞載入和執行的木馬分析

wyzsk發表於2020-08-19
作者: 騰訊電腦管家 · 2015/03/03 19:34

0x00 前言


近期騰訊反病毒實驗室捕獲了一批針對性攻擊的高階木馬,該木馬使用近期熱門的時事 話題做誘餌,對特殊人群做持續針對性攻擊,目前騰訊電腦管家已經能夠準確攔截和查殺該 木馬。

enter image description here

圖 1. 騰訊反病毒實驗室攔截到的部分木馬檔案壓縮包

0x01 分析


該木馬主要透過郵箱等社交網路的方式對特定使用者進行針對性推送傳播,原始檔案偽裝 成常見的 windows 軟體安裝程式,一旦使用者執行了該木馬檔案,便會將包含 0day 漏洞的一 個第三方軟體及相應的庫檔案釋放到指定目錄中,同時釋放一個加密的資料檔案到同一目錄 下。將含有針對性 0day 漏洞攻擊的命令列引數傳遞給該檔案執行。隨後進行自毀操作,不 留痕跡。

enter image description here

圖 2. 木馬安裝後將特定的第三方軟體檔案釋放到磁碟指定目錄中

該木馬釋放出的所有 PE 檔案均為 9158 多人影片聊天軟體的模組,具有很大的使用者群, 檔案有完整且正確的該公司的數字簽名資訊。其中的 science.exe 在解析命令列引數時存在 緩衝區溢位漏洞,且編譯的時候未開啟 GS 等安全開關,觸發後能夠執行引數中攜帶的任意 Shellcode 惡意程式碼。這也是木馬找到這個白檔案漏洞來利用的原因,使用者群體大,漏洞非 常方便利用。由於惡意程式碼是在正常檔案的記憶體中直接執行,同時在磁碟中駐留的檔案均為 正常軟體的白檔案,因此此木馬繞過了幾乎所有安全防護軟體。騰訊電腦管家使用了雲查引 擎,第一時間發現並查殺該木馬,同時已經第一時間通知相關廠商修復該漏洞。

enter image description here

圖 3. 9158 多人影片軟體安裝目錄,對比發現,木馬釋放的 PE 均在其中

以下是木馬載入執行的詳細過程:

  • 1 首先釋放檔案到指定目錄,共 5 個檔案,其中 science.exe、DDVCtrlLib.dll、 DDVCtrlLib.dll 均是 9158 多人聊天軟體的相關檔案,Config.dat 是一個加密的資料檔案,t1.dat 是一個配置檔案。

  • 2 帶引數執行 science.exe,其中引數共 0x2003 位元組,隨後原始木馬檔案進行自毀操作

enter image description here

圖 4. 使用含有惡意程式碼的引數執行含有 0day 漏洞的檔案

  • 3 由於 science.exe 對輸入的引數沒有檢查,當輸入的引數長度過長時,造成棧溢位

enter image description here

圖 5. 漏洞細節:由於軟體解析引數時沒有校驗長度,導致緩衝區溢位

enter image description here

enter image description here

圖 6.漏洞利用細節:精心構造最後三位元組資料精確定位跳轉執行 ShellCode

enter image description here

圖 7. ShellCode 的自解密演算法

enter image description here

圖 8. ShellCode 的功能是讀取並解密 Config.dat 檔案,直接在記憶體中載入執行

enter image description here

圖 9.建立一個系統服務,服務對應的映象檔案為 science.exe,並帶有惡意引數

0x02 結語


木馬透過建立服務來實現永久地駐留在使用者電腦中,實現長期地監控。完成 服務建立後,即完成了木馬的安裝過程,為了隱蔽執行不被使用者發覺,木馬服務 啟動後會以建立傀儡程式的方式注入到 svchost.exe 程式中,在該程式中連線 C&C 伺服器,連線成功後駭客便可透過該木馬監視使用者桌面、竊取使用者任意檔案、 記錄使用者鍵盤輸入、竊取使用者密碼、開啟攝像頭和麥克風進行監視監聽等。從而 實現遠端控制目標計算機的目的。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章