0x00 前言

近期騰訊反病毒實驗室捕獲了一批針對性攻擊的高階木馬,該木馬使用近期熱門的時事 話題做誘餌,對特殊人群做持續針對性攻擊,目前騰訊電腦管家已經能夠準確攔截和查殺該 木馬。

圖 1. 騰訊反病毒實驗室攔截到的部分木馬檔案壓縮包

0x01 分析

該木馬主要透過郵箱等社交網路的方式對特定使用者進行針對性推送傳播,原始檔案偽裝 成常見的 windows 軟體安裝程式,一旦使用者執行了該木馬檔案,便會將包含 0day 漏洞的一 個第三方軟體及相應的庫檔案釋放到指定目錄中,同時釋放一個加密的資料檔案到同一目錄 下。將含有針對性 0day 漏洞攻擊的命令列引數傳遞給該檔案執行。隨後進行自毀操作,不 留痕跡。

圖 2. 木馬安裝後將特定的第三方軟體檔案釋放到磁碟指定目錄中

該木馬釋放出的所有 PE 檔案均為 9158 多人影片聊天軟體的模組,具有很大的使用者群, 檔案有完整且正確的該公司的數字簽名資訊。其中的 science.exe 在解析命令列引數時存在 緩衝區溢位漏洞,且編譯的時候未開啟 GS 等安全開關,觸發後能夠執行引數中攜帶的任意 Shellcode 惡意程式碼。這也是木馬找到這個白檔案漏洞來利用的原因,使用者群體大,漏洞非 常方便利用。由於惡意程式碼是在正常檔案的記憶體中直接執行,同時在磁碟中駐留的檔案均為 正常軟體的白檔案,因此此木馬繞過了幾乎所有安全防護軟體。騰訊電腦管家使用了雲查引 擎,第一時間發現並查殺該木馬,同時已經第一時間通知相關廠商修復該漏洞。

圖 3. 9158 多人影片軟體安裝目錄,對比發現,木馬釋放的 PE 均在其中

以下是木馬載入執行的詳細過程:

• 1 首先釋放檔案到指定目錄,共 5 個檔案,其中 science.exe、DDVCtrlLib.dll、 DDVCtrlLib.dll 均是 9158 多人聊天軟體的相關檔案,Config.dat 是一個加密的資料檔案,t1.dat 是一個配置檔案。

• 2 帶引數執行 science.exe,其中引數共 0x2003 位元組,隨後原始木馬檔案進行自毀操作

圖 4. 使用含有惡意程式碼的引數執行含有 0day 漏洞的檔案

• 3 由於 science.exe 對輸入的引數沒有檢查,當輸入的引數長度過長時,造成棧溢位

圖 5. 漏洞細節:由於軟體解析引數時沒有校驗長度,導致緩衝區溢位

圖 6.漏洞利用細節:精心構造最後三位元組資料精確定位跳轉執行 ShellCode

圖 7. ShellCode 的自解密演算法

圖 8. ShellCode 的功能是讀取並解密 Config.dat 檔案,直接在記憶體中載入執行

圖 9.建立一個系統服務,服務對應的映象檔案為 science.exe,並帶有惡意引數

0x02 結語

木馬透過建立服務來實現永久地駐留在使用者電腦中,實現長期地監控。完成 服務建立後,即完成了木馬的安裝過程,為了隱蔽執行不被使用者發覺,木馬服務 啟動後會以建立傀儡程式的方式注入到 svchost.exe 程式中,在該程式中連線 C&C 伺服器,連線成功後駭客便可透過該木馬監視使用者桌面、竊取使用者任意檔案、 記錄使用者鍵盤輸入、竊取使用者密碼、開啟攝像頭和麥克風進行監視監聽等。從而 實現遠端控制目標計算機的目的。