黑狐”木馬分析報告
0x00 木馬簡介
騰訊反病毒實驗室近期捕獲了“黑狐”木馬的最新變種,這已經是該木馬從 2014 年初首次發現以來的第三個大變種,本次全國感染量近百萬。本文透過對“黑狐”木馬多個版 本的分析對比,來探究當前主流木馬在對抗殺軟技術、傳播渠道、獲利方式上的一些特徵 和線索,也為預知和防禦新的變種尋找思路。
0x01 特點
1.偽裝性好
該木馬與正常的軟體“混編”,使用者在開啟該木馬程式時,誤以為是正常的 程式。由於開啟過程中,沒有明顯的異常,且木馬的主要檔案是在執行後經過數輪的下 載才安裝到使用者機器中,在原始樣本中只含有少量程式碼,透過檔案體積等完全無法看出。
2.傳播迅速
使用惡意新聞簡單報、惡意便籤等各種傳播推廣渠道迅速推開,在很短的時 間內迅速感染近百萬臺電腦。當安全廠商監控到該木馬廣度過大後,會進行人工分析, 而人工分析地不徹底,就會導致木馬被設定為信任而不報毒。截止 3 月 31 日,黑狐木 馬的母體和子體在 VirusTotal 上包括騰訊電腦管家在內只有三家報毒。
圖 3. 截至目前,大部分安全廠商不報毒
3.隱蔽性強
該木馬使用了開機回寫、啟動刪除、驅動隱藏等技術,在電腦開機時,由系 統用木馬檔案替換系統檔案,在木馬啟動後,再用備份的系統檔案替換掉木馬檔案,因 此木馬檔案在系統關鍵位置存留的時間很短,且使用了 rootkit 技術,隱蔽性很強,絕大 多數安全軟體在電腦體檢和木馬掃描時不會掃描到木馬檔案及其啟動項。
圖 4. 使用登錄檔 PendingFileRenameOperations 方式實現自啟動
4.難以清除
由於該木馬駐留在 Winlogon.exe 程式中,該程式是 windows 使用者登入程式, 啟動地比安全軟體早,而關閉地比安全軟體遲。且在核心中含有 rootkit 保護驅動,即便 被掃描出來,也很難被徹底清除。
5.危害嚴重
該木馬是一個典型的外掛型遠控木馬,控制者隨時可以透過命令下發外掛, 而外掛可以由控制者任意定製。當前發現的外掛主要是進行流氓推廣,但只要控制者想 做,隨時可以下發盜號外掛、監控外掛、竊密外掛等可能給使用者財產、個人隱私造成嚴 重損失。
0x02 詳細分析
HSHZS.exe 行為
1) 正常的介面顯示、圖片格式轉換器
2) 建立一個執行緒,下載 http://adgeta.tryiuepx888.com/GetAds/? HSHZS.jpg
3) 從 jpg 檔案尾部提取資料,解壓後得到 HSHZS.dll,建立執行緒直接記憶體執行
4) 訪問 http://tongji.tryiuepx888.com/tongji.php,將本地磁碟序號資訊等上傳統計
HSHZS.dll 行為
1) 載入名為 A01 的資源,解壓後得到一個 PE 檔案,以下將其命名為 A01.dll
2) 將 A01.dll 以遠端執行緒的方式注入到系統 Winlogon.exe 程式中
A01.dll 行為
1) 下載 http://98.126.20.182:443/HenKew 並解壓,得到 HenKew.dll,記憶體執行
HenKew.dll 行為
1) 下載 http://98.126.20.182:443/YA20150218 並解壓,得到 YA20150218.dll,記憶體執行
YA20150218.dll 行為
1) 載入名為 RunWin 的資源,該資源是一個 PE 檔案,取名 RunWin.dll,記憶體執行
RunWin.dll 行為
1) 判斷是否在 Winlogon.exe 程式或者 svchost.exe 程式
2) 建立執行緒,不斷進行以下行為:
(1) 建立 C:\WINDOWS\System32\SET12.tmp(SET**.tmp)
(2) 修改登錄檔 PendingFileRenameOperations,實現重啟後用 SET**.tmp 替換cscdll.dll
3) 釋放 C:\WINDOWS\System32\Wbem\csvcoy.xsl(csvc**.xsl)
4) 複製%windir%\System32\cscdll.dll 到%windir%\Wbem\cscdll.xsl
5) 連線 C&C 伺服器,接收指令,目前發現的有
(1)下載檔案,WinExec 執行
(2)下載檔案,注入到其他程式執行
6) 載入驅動,在驅動中,實現以下兩個功能
(1)在驅動中透過檔案過濾隱藏 Set**.tmp、csvc**.xsl 檔案 (2)建立關機回撥,在系統關機時再次回寫登錄檔和檔案,保證不被清除
SET**.tmp 行為:(重啟使用)
1) 查詢並讀取 csvc.xsl 檔案,解壓得到 csvc.dll,記憶體執行,csvc**.dll 同 RunWin.dll
相關文章
- 黑狐木馬最新變種——“肥兔”詳細分析
- 盜號木馬分析報告
- BetaBot 木馬分析
- 木馬逆向分析
- Free Star木馬分析與追溯
- 利用DNS隧道通訊木馬分析DNS
- 馬蜂窩:旅途中APP使用行為分析報告(附報告)APP
- Redis漏洞攻擊植入木馬逆向分析Redis
- 黑暗幽靈(DCM)木馬詳細分析
- 一個簡單木馬分析及接管利用
- 挖礦木馬猖獗,360安全衛士破解“黑礦工”之困
- 木馬學習
- “蜥蜴之尾”——長老木馬四代分析報告
- 技術分析:線上棋牌遊戲的木馬“集結號”遊戲
- 007駭客組織及其地下黑產活動分析報告
- 快速定位挖礦木馬 !
- 騰訊安全:2017年度網際網路安全報告 “炒幣”致挖礦木馬盛行
- 你裝的系統有毒——“蘇拉克”木馬詳細分析
- 移花接木大法:新型“白利用”華晨遠控木馬分析
- “愛思助手”被爆為iOS木馬樣本技術分析iOS
- “大灰狼”遠控木馬分析及幕後真兇調查
- 偷天換日——新型瀏覽器劫持木馬“暗影鼠”分析瀏覽器
- 分析關於木馬隱藏一個的新方法(轉)
- 利用msfvenom生成木馬檔案
- iexpress全力打造“免檢”木馬Express
- 遭遇 木馬 srpcss.dllRPCCSS
- 木馬問題解決方案
- 貝殼木馬專殺工具怎麼用 貝殼木馬專殺工具使用教程
- 來自播放器的你——“中國外掛聯盟”木馬分析播放器
- 木馬克星1120 完整演算法分析(高手勿進)演算法
- 畢馬威:2018年全球金融科技投資分析報告
- 畢馬威:2016全球Fintech投資分析報告(附下載)
- 一月我國網際網路各類安全威脅態勢分析報告|境內119萬餘終端感染木馬
- statspack 報告分析
- 網路黑產作惡手段花式翻新,熱門網遊慘遭釣魚木馬“碰瓷”
- 微信小程式swiper旋轉木馬微信小程式
- [病毒木馬] 檔案自刪除
- 記錄一次木馬排查