【更新360公司回应】火球(Fireball)病毒,是老外如临大敌,还是360指鹿为马?

2017-07-12 470229人围观 ,发现 15 个不明物体 系统安全资讯

* 本文作者:人若无名,本文属FreeBuf原创奖励计划,未经许可禁止转载

2017年6月1日,国外著名的安全厂商Checkpoint发布报告称一个来自中国的恶意软件火球(Fireball)在全球范围内感染了多大2亿5千万台电脑。但仅仅两天之后,国内著名的安全厂商360就发布了另一篇报告“Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌”,称Fireball仅仅是一个很厚道的“流氓软件”。

http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/

两家著名的安全厂商对“相同的”病毒发布了完全不同的信息,让作为一个信息安全爱好者的我不知所措,到底该相信谁呢?! 这时候我想起了名侦探柯南中的那句台词“真相永远只有一个!”,因此决定亲自来分析下这个病毒。

在Checkpoint的分析报告中共列出了以下8个样本哈希,我们首先尝试从VT中获取这些样本的信息。

fab40a7bde5250a6bc8644f4d6b9c28f

69ffdf99149d19be7dc1c52f33aaa651

b56d1d35d46630335e03af9add84b488

8c61a6937963507dc87d8bf00385c0bc

7adb7f56e81456f3b421c01ab19b1900

84dcb96bdd84389d4449f13eac750986

2b307e28ce531157611825eb0854c15f

7b2868faa915a7fc6e2d7cc5a965b1e7

列表1. Checkpoint分析报告中给出的样本哈希

VirusTotal上的样本信息

图1. VirusTotal上的样本信息

从图1可以看到,样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,因此极有可能是火球(Fireball)病毒的原始安装程序(或者说母体)。对该样本进一步进行信息检索后在文件关系(File Relationship)面板中发现它曾经出现在被提交到VT上的几个压缩文件之内。

VirusTotal上的文件关系信息

图2.VirusTotal上的文件关系信息

4206664073b85f5c7a1fb82e3b8e8d3598ef96226a46899fbeaae6a7d7be2457

bc47fe30ba4bf86101b112ce1c5f811994e75353ad9e4d421e60582abdda1254

cd2bdbdfc57e57140412ba57be83da3ff8856107d8ac288ae18df77e2f2f05be

ef1743e67b8c323f2e3e58499cfd699099885fa5ad5d8601cfe0a126be4df556

列表2. 我们从VT上找到的包含文件84dcb96bdd84389d4449f13eac750986的样本列表

在列表2中,除了最后一个文件是真正的压缩文件以外,前三个文件都是DLL并且具有相似的文件结构(有且只有一个名为“hkfnrf”的导出函数,在附加数据中存在7Z格式的压缩数据)。

附加数据中的7Z格式的压缩数据

图3. 附加数据中的7Z格式的压缩数据

直接使用7-ZIP对DLL文件进行解压缩,发现里面有如图4所示的文件集合。

从DLL文件中解压缩出来的文件集合

图4. 从DLL文件中解压缩出来的文件集合

用十六进制编辑器对这些文件进行查看之后,发现amule_cf这个文件很有意思,其内容如下。

{

       "list": 

       [

{

                     "app_type": 1,

                     "app_name": "ClearLog.dll",

                     "app_cmd": "StartClear"

              },

{

                     "app_type" : 1,

                     "app_name": "Lancer.dll",

                     "app_cmd": "Start"

              },

{

                     "app_type": 0,

                     "app_name": "yacqq.exe",

                     "app_cmd": ""

              },  

             {

                     "app_type": 0,

                     "app_name": "BaofengUpdate_U.exe",

                     "app_cmd": "-r"

              },

             {

                     "app_type": 0,

                     "app_name": "QQBrowser.exe",

                     "app_cmd": "-sileninstal2016"

              },

{

                     "app_type": 0,

                     "app_name": "regkey.exe",

                     "app_cmd": ""

              },

{

                     "app_type": 0,

                     "app_name": "de_svr.exe",

                     "app_cmd": ""

              }

       ]

}

该DLL文件的导出函数“hkfnrf”的代码显示(图5)它会读取并解析配置文件amule_cf的内容并执行相应的程序。同时会访问命令控制服务器的地址http://dmv9o2kt858uv.cloudfront.net/v4/service/%s?action=visit.amuleupdate.%s汇报执行状况。

DLL的导出函数“hkfnrf”的部分代码

图5. DLL的导出函数“hkfnrf”的部分代码

对DLL文件中包含的文件集合做了简要分析,具体信息参见表格1、图6、图7、和图8。

MD5 文件名 文件属性
3944f7dff0914c31f26099deb482b67c amule_cf 数据文件(配置文件)
95b14c3c23e1cb7793a906675ff4f7e2 BaofengUpdate_U.exe 安全文件(暴风影音)
8c61a6937963507dc87d8bf00385c0bc ClearLog.dll 恶意文件(清除杀软检测记录的模块)
84dcb96bdd84389d4449f13eac750986 de_svr.exe 恶意文件
2579df066d38a15be8142954a2633e7f hhhhh.exe 安全文件(SystemInternals工具集中的Handle Viewer)
2b307e28ce531157611825eb0854c15f Lancer.dll 恶意文件(它会从lanceruse.dat中解密出杀软对抗模块并运行)
d5b4e907615a315fe610ba3fe18d15f0 lanceruse.dat 数据文件(解密后的数据包含火球病毒的杀软对抗模块和PC Hunter)
2eee15b1927eadff45013e94b0cb0d94 QQBrowser.exe 安全文件(QQ浏览器)
61af79ff97cbe061a3e55be2ea3a7369 QQBrowserFrame.dll 恶意文件(该文件利用QQBrowser.exe来加载自身—即所谓的“白加黑”技术,解密并执行数据文件tmaker中的恶意代码)
7adb7f56e81456f3b421c01ab19b1900 regkey.exe 恶意文件
4abe1a0120b222ddc59dc702d2664e52 tmaker 数据文件(包含加密的恶意代码)
66e4d7c44d23abf72069e745e6b617ed ttttt.exe 安全文件(Windows系统文件tracelog.exe)
97d5b2bd066ff1bc54cc012c2088416d Update.dll 恶意文件
ca2a6c3b5478e72ce564fbb77b8224e0 yacqq.exe 恶意文件

表格1. DLL文件中所包含的文件集合信息

从数据文件lanceruse.dat中解密出来的杀软对抗模块Micr.DLL

图6. 从数据文件lanceruse.dat中解密出来的杀软对抗模块Micr.DLL

杀软检测记录清除模块ClearLog.dll

图7. 杀软检测记录清除模块ClearLog.dll

从数据文件tmaker中解密出来的恶意模块

图8.从数据文件tmaker中解密出来的恶意模块

至此,真相已经大白。火球(Fireball)不仅使用了病毒常用的“白加黑”(即利用安全EXE文件加载自己的动态链接库并解密执行恶意代码)技术,而且还利用著名的PC Hunter与杀毒软件进行对抗,并且拥有杀软检测记录的清除模块,是一个纯粹的恶意软件。

那么360为什么说火球(Fireball)是一个“有良心的流氓软件”?由于360的分析报告中没有给出任何文件哈希,只能推测他们分析了通过火球病毒传播的一个“流氓软件”,而不是火球(Fireball)病毒本身,真是指鹿为马啊!

火球(Fireball)病毒来自哪里?

在图8的Ollydbg截图中,有一个叫“firefox1.com”的域名,起初我以为它是火狐浏览器官方的域名之一,然而这个域名的WHOIS信息否定了我的判断。

“firefox1.com”的WHOIS信息

图9.“firefox1.com”的WHOIS信息

通过搜索“baoyu430”,我找到了下面这个GitHub页面。

“baoyu430”的GitHub页面

图10. “baoyu430”的GitHub页面

Elex?一个似曾相识的名字,百度搜索发现这是一家叫“智明星通”的公司。Checkpoint在报告中指出火球(Fireball)病毒来源于一家叫Rafotech(卿烨科技)的中国公司,那么Elex(智明星通)和Rafotech(卿烨科技)之间是否存在某种直接或者间接的关系呢?由于Rafotech 的官方网站已经下线,我们不得而知,然而搜索引擎似乎向大家透露着什么。

同一个HR为两家公司招聘?

图11. 同一个HR为两家公司招聘???

一份“北京智明星通科技股份有限公司的公开转让说明书(申报稿)”

图12. 一份“北京智明星通科技股份有限公司的公开转让说明书(申报稿)”披露该公司老板对Rafotech(卿烨科技)进行了间接投资

写在最后:

如果有其他信息安全爱好者也对这个样本感兴趣但又没有订阅VirusTotal的服务,可以尝试在自己公司的样本库中搜索带有文中提到的导出函数”hkfnrf”的DLL(动态连接库)。

* 本文作者:人若无名,本文属FreeBuf原创奖励计划,未经许可禁止转载


360公司主动联系了FreeBuf,并针对此文给出如下回应:

1、  本文标题定性火球(Fireball)是“病毒”,但是根据VirusTotal多引擎扫描结果,以本文作者分析的样本为例,绝大多数安全厂商报的都是Adware(广告程序)或Riskware(风险程序),卡巴斯基更是耿直地标明为“not-a-virus”。360把Fireball定义为流氓软件与安全行业的主流观点是一致的。

2、  文中说“样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,因此极有可能是火球(Fireball)病毒的原始安装程序(或者说母体)”,还推测360分析的是“火球病毒传播的一个‘流氓软件’,因此是‘指鹿为马’”,这个推测是完全错误的。

事实上,Checkpoint的报告是以Deal Wifi举例,360的跟进分析也是直接从Deal Wifi网站上获取的样本,并不存在任何“母体”。Checkpoint提出的解决方法是“在控制面板的程序和功能列表中移除相关应用以卸载广告程序”,与360的分析结论也是一致的,双方在技术分析上并无区别,只是对危害程度有不同结论。之后微软也发表文章认为Fireball的影响被夸大了。恰恰是本文作者找了另一个相关性较远的程序去分析,行为完全不同,并不具有可比性。

3、  即便是作者分析的样本,使用了“白加黑”和利用PC Hunter对抗,并且有杀软检测记录的清除模块。这些对抗技术也早已被国内流氓软件大规模利用多年,360安全卫士一直在对此类流氓软件进行拦截查杀。也正是因为这个原因,我们形容Fireball只是“菜鸟级“流氓软件,并披露了国内流氓软件常用的更恶劣的对抗技术,详情可参考http://www.freebuf.com/news/136301.html

4、  关于本文最后强调使用域名的whois信息为线索搜寻相关样本,360也早已发布过相关技术分析:http://weibo.com/ttarticle/p/show?id=2309404115977217392142,从样本行为和全网数据监测角度进一步披露Fireball在国内的传播情况。通过网络层面数据监测,国内总感染量为10万量级,与Checkpoint公布的全球2.5亿感染量相比仅有万分之四。360安全卫士用户更是完全不受此流氓软件影响。

这些评论亮了

  • 几百人中招的王者系列敲诈者被某数字炒得飞起
    几百万人中招的暗云系列被某数字选择低调对待,后台默默帮用户修复
    同样,不是自己先发声的一切恶意程序都是人畜无害的,只要是自己先发声的,都会被炒成致命性的
    )43( 亮了
  • @ softbug 
    1. 可以根据配置文件静默执行捆绑在附加数据中的流氓软件,在VirusTotal Intelligence中搜索“exports:hkfnrf”可以找到大量类似文件,配置文件和捆绑的文件都各不相同。
    2.下载并执行其他程序(参见图8)。
    3. 由于这是DLL(动态链接库并不能执行自己或者被双击执行),说明还不是最原始的母体样本,但光是对抗杀毒软件和清除检测记录也足够说明它是恶意文件了。
    )21( 亮了
  • @ 炒冷饭 那么大名鼎鼎的zeroaccess的恶意载荷是fraudulent click,按照您的理解是否也仅仅是“流氓软件”而不是病毒呢?
    )12( 亮了
  • 炒冷饭 回复
    @ 人若无名 你对恶意代码分类看来并不了解,判断一种恶意代码是什么分类应该是基于其具体的行为和目的,而不是猜测。简单地说就是你看要它做了什么,而不是觉得它会做什么。下载执行、对抗杀软和清理痕迹甚至释放驱动这类行为并不能用来判断一种恶意代码的具体分类,如果它最终目的还是安装其他推广程序、锁定主页或者劫持流量,那就是流氓软件;如果是用来下一步更多恶意程序,那就属于downloader。
    )10( 亮了
  • hehe 回复
    360流氓卫士用户更是完全不受此流氓软件影响
    )9( 亮了
发表评论

已有 15 条评论

取消
Loading...
css.php