概述
近期腾讯御见威胁情报中心监测到一个具有劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族,该木马捆绑在一些破解激活工具中传播。腾讯安全专家建议用户尽量使用正版软件,避免下载使用那些盗版破解激活工具,以免因此中招。
木马首先会安装名为“VideoDriver”的Rootkit病毒,并在每次开机时劫持浏览器跳转到广告页面,然后注入系统进程svchost.exe并下载刷量木马y2b.exe刷量youtube视频。通过腾讯高级威胁溯源系统进行溯源分析还发现了具有相同C2地址的Chrome搜索劫持木马,以及可以完全控制用户电脑,将中毒电脑变成“肉鸡”的大灰狼远程控制木马。
木马攻击流程
为躲避安全软件检测,木马伪造正常商业公司的信息申请合法数字签名,再次提醒安全厂商不要轻易信任数字签名。感染数据显示,该病毒近期活跃度上升,广东、上海、江苏、浙江等地的受害电脑较多。
样本分析
带病毒的激活工具运行后释放随机名驱动木马到C:\Windows\Temp目录下,伪装公司名为“VideoDriver”。
木马盗用签名“韵羽健康管理咨询(上海)有限公司”,利用合法的数字签名来逃避查杀。
从网上公开信息可查得,该公司的经营范围为:“健康管理咨询,减肥服务,展览展示服务,包装服务,一类医疗器械、化妆品、美容美发用品、母婴用品、日用百货、办公用品的批发、零售”。
该公司经营范围并不包含软件开发、信息技术等领域,因此不会有签名系统被入侵的情况,推测此次很可能是木马作者通过伪造公司的信息,向签名颁发机构申请了证书。
木马安装的关机回调导致每次开机时通过浏览器打开广告页面hxxp://count.b12.fun/jump.php
驱动木马创建设备对象\\DosDevices\\VideoDriver,应用层木马可通过该对象打开驱动并与之通信。
枚举进程PID,并通过PID找到进程svchost.exe
KeStackAttachProcess进入到进程地址空间并执行shellcode
Shellcode执行后从服务器下载hxxp://dl.ossdown.fun/y2b.dat,保存为本地文件C:\Windows\Temp\y2b.exe,然后拉起运行。
y2b.exe
y2b.exe运行后上传机器信息到info.d3pk.com返回一个URL地址:
hxxps://www.youtube.com/watch?v=peJ2vpMiU-s
该地址为Youtube视频页面,继续分析可以发现该页面用于广告刷量(没明白,在中国传播Youtube刷量病毒是几个意思?)
检测是否安装chrome浏览器
获取到登录状态开始访问刷流量
刷量时还支持关闭自动播放
支持检测全屏广告或局部广告
还会通过控件MSScriptControl.ScriptControl执行刷量脚本代码
同源分析
通过通过腾讯安图高级威胁溯源系统分析y2b.exe的同源样本,还发现了通过安装chrome插件进行搜索劫持的木马样本,且该样本与“VideoDriver”使用的服务器域名具有较高相似度。
劫持跳转:http://count.b12.fun/jump.php
劫持搜索:http://www.ab12.fun/info/info.php?brwoser=
恶意Chrome插件
木马上传用户安装的浏览器信息
hxxp://www.ab12.fun/info/info.php?brwoser=
如果发现用户机器上存在chrome浏览器则在浏览器中安装恶意插件程序
在插件目录下,可以看到配置文件manifest.json,插件启动页面popup.html
Popup.html通过chrome.tabs.create来创建一个tab用来打开URL:www.15s0.com
访问该URL是一个不常见的搜索页面,并且输入任何内容进行搜索,都会返回搜索错误,推测可能被用来作为钓鱼网站或者利用页面传播木马。
远控木马
通过腾讯安图高级威胁溯源系统对C2地址ab12.fun进行扩散分析,发现通过该地址还曾用于传播大灰狼远控木马88.dll
木马程序为了方便远程的文件更新,把恶意代码加密后放在远程的服务器中,下载后需要在本地解密,然后装载到内存中执行。
首先通过CreateFile判断C:\Program Files\AppPatch\88.dll是否存在
不存在则解密出服务器地址hxxp://www.ab12.fun/tool/88.dll,并下载88.dl
获得下载样本88.dll后会检测文件尾部数据“SSSSSSVID:2014-SV8
”进行校验。
然后通过内存加载PE执行,内存中装载的PE文件任然通过加UPX进行壳保护
内存加载后获取导出函数DllFuUpgradrs的地址调用,调用时传播2个参数:第一个为加密过的数据块,第二个为字符串“Cao360yni”
字符串解密后得到上线配置信息,包括控制端IP地址154.48.232.234,端口8008,释放文件路径%ProgramFiles%\Microsoft Svoveu\.Dgzgpfj.exe,安装服务名、上线分组等信息。
从内存中dump出文件,并文件将脱壳后分析,得到一个DLL样本,该样本在导出函数DllFuUpgraders中进行服务安装
上线后连接C2地址154.48.232.234
构造GET、POST请求数据包,通过send发送数据包进行网络通信
通过接收到的不同命令字跳转执行远程功能
木马具有:包括查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,删除文件,清除系统记录,查看系统服务,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。
尝试结束网络监控进程zreboot.exe、zrupdate.exe、zrclient.exe、arpguard.exe、Ingress.exe
通过枚举注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall搜集软件安装信息
搜集浏览器收藏夹URL数据
枚举搜索文件
执行指定程序
键盘记录
设置SeShutdownPrivilege获得特权并关机。
通过以下步骤设置系统允许多个用户同时连接3389端口进行远程桌面:
(1)对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
KeepRASConnections设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(2)用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(3)复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll
(4)复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
木马还具有中英文消息发送功能
安全建议
1、不要运行来历不明的程序,谨慎使用激活、破解工具。
2、关闭不常用的高危端口,如3389等。
3、保持杀毒软件实时开启,如果安全软件已经报警,这样的激活工具更不能再使用。
IOCs
域名
b12.fun
count.b12.fun
info.d3pk.com
dl.ossdown.fun
IP
154.48.232.234
104.27.137.193
104.27.157.2
URL
hxxp://www.ab12.fun/tool/88.dll
hxxp://count.b12.fun/jump.php
hxxp://www.ab12.fun/info/info.php?brwoser=
hxxp://b12.fun/info.php
hxxp://dl.ossdown.fun/y2b.dat
hxxp://dl.ossdown.fun/g.dat
MD5
9e2233176e8dbfeb35dbe2ec56a6fa55
cd3b172832b5eb0d531a2aaf1bca71fc
b9da69c9b0428bd820f7a6a87f4c8f6d
01e5b2fcebc9a965ee39ec1373d3603d
ec8c214b58fa351b869ae3ffc8926f80
03403276ffa7e47f05ce80d67792ef5e
271728794b52c72b49df7a44d5f478ff
7a9e28a294a64047e63795c0d6856944
89b1a1a23650706119cde98a1da90eb1
5fbc027c528f7bbd8b510ce75aa8c353
ca9130fa91f4c5b4e8fa10f5ecca87ea
044fa5fbf71fbe1c440259cb16a28c3f
0607ff68c082bb47816ee4a6dea5013e
7a9e28a294a64047e63795c0d6856944
e9e22eb1a814a629bfe452f726fe9769
ebfda79fbfcd98dcbdd3db7952c932c5