系统有毒:“苏拉克”木马详细分析

2015-12-31 656182人围观 ,发现 19 个不明物体 网络安全

引言

刚重装的系统就中毒了,这是很多网友常常遇到的事,难道是中了引导区木马?甚至bios中毒?其实没那么复杂,很可能是你安装的系统自带了木马。

一、“苏拉克”木马简介:

“苏拉克”木马是2015下半年来持续爆发的木马,该木马感染了大量的计算机,其主要传播释放是直接在ghost镜像中植入木马,然后将ghost镜像上传到大量网站提供给用户下载,此外,近期也发现该木马的win8、win10版本通过oem激活工具植入用户电脑中。由于该木马的主要模块名为“surak.sys”,且通过分析得知该木马的项目名称即为“surak”,因此将其取名“苏拉克”木马。

二、“苏拉克”木马特点:

1、传播渠道隐蔽,由于该木马被直接植入到ghost镜像中,用户一安装系统就自带该木马,而此时尚未安装任何安全软件,因此木马的传播过程完全不在监控中。 

2、影响用户多,由于大量网站传播该类ghost镜像,且此类网站投入了大量推广费进行推广,普通用户通过搜索引擎找到的镜像下载站几乎全是带木马的。此类镜像涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“番茄花园”等主流ghost。

3、难以清除,由于木马进入系统时间比安全软件早,掌握了主动权,对其后安装的安全软件做了大量的功能限制,使其大量功能无法正常使用,如安全防护无法开启、信任列表被恶意操作等,导致难以检测和清除木马。

4、对用户电脑安全威胁大,“苏拉克”木马除了锁定浏览器主页获利外,还会实时连接云端获取指令,能够下载其它木马到本地执行,给系统安全造成了极大的威胁。此外,针对64位系统,该木马还会修改系统内核文件,使得64位系统自带的驱动签名校验、内核防钩子等安全机制全部失效。

图1. “苏拉克”木马产业链示意图

三、“苏拉克”木马行为分析:

“苏拉克”木马的功能主要分为4大模块,即内核Rootkit模块、应用层主体模块、应用层加载器模块、应用层上报模块。模块分工明确,可扩充性强,配置灵活,且所有的通讯都使用高强度加密算法加密(AES & RSA),该木马有xp版、win7版、win8版、win10版,除xp版外其它版本又分为32位版本和64位版本,每个版本功能基本一致,以下以xp版本为例进行分析,其它版本行为类似。

通过各个模块分工协作,该木马完成了主页锁定、云端控制、插件下载、对抗安全软件等功能。

图2. “苏拉克”木马模块分工示意图

1、启动模块行为:(MD5:a3c79b97bdea22acadf951e0d1b06dbf)

qidong32.dll的功能单一,其被注册成系统组件,开机时随系统启动,由Explorer.exe进程加载执行。该文件被加载后首先判断自己是否位于explorer.exe进程或者regsvr32.exe进程中,若是,则启动system32\drivers\UMDF\boot.exe文件。该文件是木马的主体文件,预置在带毒的Ghost系统中。

图3. 

图4.

2、主体模块行为:(MD5:bf47d80de3852e7ef6b86ac213e46510)

Boot.exe文件是该木马的主体模块,主要负责定时从云端下载最新的配置信息及负责其它模块的调度、插件下载、数据传递等。

1)运行后首先从云端下载http://xp.xitongzhu.com/2.0xpFileList.dl文件,该文件使用AES加密,密钥为“DownloadKey”,顾名思义该配置文件与下载相关,解密后的该文件如图5所示,主要包含要下载的文件列表、文件类型、本地存储路径等。

图5.解密后的2.0xpFileList.dl

2)解析配置文件,并进行相应的下载,下载完成后根据类型进行Load或者Exec。

图6. 

3)完成以上行为后,将下载成功后的文件路径按一定格式存储,并使用AES加密(密钥:dl_encrypt)存储在C:\Windows\System32\drivers\UMDF\dllist文件中,即插件列表。

图7. 存储插件列表

4)下载http://xp.xitongzhu.com/2.0xpSurakConfig.cfg到内存中,该文件是木马的配置文件,下载后计算配置文件的MD5值,并与C:\Windows\System32\drivers\UMDF\hash\config中存储的值进行比较,以判断配置文件是否更新,如果更新则将其传给surak.sys。

图8. 下载配置文件并比较MD5

5)该配置文件分为三部分,分别使用AES