freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

白利用的集大成者:新型远控木马上演移形换影大法
2017-06-27 13:00:47

最近,360互联网安全中心发现一款新型远控木马,该木马广泛用于盗取玩家游戏账号及装备。经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。

白利用

其实,将快捷方式作为木马启动跳板的做法本来并不新鲜,有趣的其实是快捷方式指向的程序:

白利用

截图无法完整展示启动参数,我们把启动参数列出来:

C:\Windows\System32\rundll32.exe

C:\Windows\system32\url.dll,FileProtocolHandler

"~1\QQ.exe"

第一层是系统的rundll32.exe,功能就是加载并执行一个动态链接库文件(dll)的指定函数。而有趣的就是这个被加载的动态链接库文件和指定函数——url.dll的FileProtocolHandler函数。

从文件名不难看出,这其实是一个网络相关的库文件——准确地说,这是一个IE浏览器的扩展组件(Internet Shortcut Shell ExtensionDLL):

白利用

而所调用的函数,却是用来执行本地程序的函数——FileProtocolHandler。实际上该函数所返回的,就是调用ShellExecute函数执行指定程序后的执行结果:

4.png

而真正的木马,则是在第三层的参数“~1\QQ.exe”。到此为止,看似是通过了2层的正常程序,跳转到了一个木马程序。其实不然——这个QQ.exe也是一个正常程序:

白利用

虽然名字是QQ.exe,但其实是网易云音乐——签名正常。而木马就是利用了该程序去调用一个假的cloudmusic.dll,并执行它的CloudMusicMain函数:

6.png

当这个假的cloudmusic.dll的CloudMusicMain函数被调用的时候,木马会首先生成CertMgrx.exe和xxxx.cer两个文件:

7.png白利用

完成后,调用生成的certmgrx.exe将xxxx.cer加入到系统信任证书的列表中——这样一来,假cloudmusic.dll所带的假签名也摇身一变成为“真签名”了.

白利用10.png

完成这一步后,由于假签名所依赖的假证书已经生效,便可以有恃无恐地进行后续动作——向当前目录下的temp文件夹里释放新的木马文件:

白利用12.png13.png

与之前木马结构类似TEST1.exe依然是网易云音乐的主程序,而新的cloudmusic.dll则是真正的木马本体。

木马本身并没有太多新意,故此也不再赘述。该木马的特点就体现在FileProtocolHandler函数的利用上,多一层的系统文件的跳转让许多主动防御类安全软件难以追踪和识别,再加上本身利用网易白程序和导入假证书的手法,多种白利用手段相结合,确实会让市面上许多安全软件哑火。

当然,360用户对此无需担心,360安全卫士和360杀毒拥有一整套对抗木马白利用的领先技术。层层侦查机制保证对程序跳转的每一步进行监测,切断木马的“跳板”;动态捕捉机制对程序加载的各个指令进行全面识别,遏制白利用程序的可能;同时,即时阻断机制对所有导入证书的行为进行拦截,对不慎导入的非受信证书直接忽视。基于上述防护机制,360能正常防御此类木马,保护用户安全。

白利用

*本文作者:360安全卫士,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 木马 # 白利用
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦