freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

国产吃鸡要凉?荒野行动加速器木马攻击已达10万+
2018-04-02 08:00:21
所属地 海外

随着绝地求生、荒野行动等游戏大火,不少玩家会下载各种加速器用来加速游戏,而这些利用玩家求胜心理传播的加速器等外挂,却很快成了木马活跃的温床。近期,360安全中心发现一款借助“荒野行动”外挂扩散的驱动级木马十分活跃,传播量迄今已超10万次。

该加速器运行后界面显示正常,但是后台会静默注入桌面进程,下载各种恶意木马运行。木马会通过修改驱动结构体隐藏自身文件及驱动对象,创建进程回调对浏览器实施监控,借机劫持并篡改玩家所有浏览器的主页。值得注意的是,该木马的查杀难度极高,能够关机回写自身服务项,确保自身在开机最初运行,并做多重注册表保护。

下面是对该加速器恶意行为详细分析。

安装改首页驱动部分

 Clipboard Image.png
图1

而后在线程函数中检测恶意驱动设备是否存在:

Clipboard Image.png 
图2

打开查找设备名:

Clipboard Image.png 
图3

读取驱动下载配置:

Clipboard Image.png 
图4

然后解密配置, 检测改主页驱动安装云标记是否打开。

打开是1,并且根据操作系统x86 x64分别使用不同地址。

下载安装驱动:

Clipboard Image.png 
图5

调用 URLDownloadToFileW 下载驱动文件:

Clipboard Image.png 
图6

启用该驱动:

Clipboard Image.png 
图7

改主页驱动

2.1驱动入口函数

判断是否支持的系统:

Clipboard Image.png 
图8

是否已经加载上:

Clipboard Image.png 
图9

判断是否为第一次随机名加载:

Clipboard Image.png 
图10

如果是随机名加载,则重新加载驱动并且将自身设置为System Reserved组:

Clipboard Image.png 
图11

调用ZwLoadDriver重新加载该驱动:

Clipboard Image.png 
图12

重新加载自身后创建符号链接:

Clipboard Image.png 
图13

而后注册关机回调,初始化浏览器进程数组,进程回调(用来判断浏览器改主页)。

Clipboard Image.png 
图14

通过进程名称获取进程Pid:

Clipboard Image.png 
图15

而后注册DriverReinitializationRoutine。

2.2 初始化保护函数

首先锁定自身文件,防止被杀软读取,保存驱动全路径并且隐藏自身驱动对象:

Clipboard Image.png 
图16

查询系统所有模块:

Clipboard Image.png 
图17

挑选其中的系统模块然后复制其中驱动文件名和驱动文件路径:

Clipboard Image.png 
图18

之后系统就会多出两个一模一样的驱动文件。

然后注册文件MiniFilter注册表回调保护自身注册表和禁止杀软模块加载:

Clipboard Image.png 
图19

注册文件过滤防止模块加载:

Clipboard Image.png 
图20

注册注册表回调保护服务项目:

Clipboard Image.png 
图21

然后创建系统线程等待桌面进程启动后保护自身注册表项目:

Clipboard Image.png 
图22

等待桌面进程启动后保护注册表项目:

Clipboard Image.png
图23

注册表回调发现一旦设置或者删除自身注册表项目就返回拒绝并且通过开关控制。

Clipboard Image.png 
图24

文件过滤中:

Clipboard Image.png 
图  25

判断是否为浏览器进程:

Clipboard Image.png 
图26

如果是这些进程中且为以下模块则返回STATUS_NO_SUCH_FILE。

Clipboard Image.png 
图27

Clipboard Image.png 
图28

2.3 修改浏览器主页

主要是在进程回调中实。判断是否为浏览器进程,然后通过修改命令行方式强行跳转:

 Clipboard Image.png
图29

判断浏览器进程:

Clipboard Image.png

图30

通过遍历浏览器进程名数组实现:

Clipboard Image.png 
图31

浏览器进程列表为:


Clipboard Image.png
图32

获取进程命令行:

Clipboard Image.png 
图33

通过获取PEB中相关结构实现:

Clipboard Image.png 
图34

获取进程命令行:

Clipboard Image.png
图35

而后 SafeChangeProcessCommandLine 修改浏览器进程命令行:

Clipboard Image.png 
图36

判断哪些窗口名或者是进程命令行跳过然后拼接命令行参数:

Clipboard Image.png 
图37

实现浏览器主页修改:

Clipboard Image.png 
图38

修改命令行函数:

Clipboard Image.png 
图39

2.4 关机回调

会清理调所有其他的注册表回调,并且重新回写自身服务项目。

Clipboard Image.png 
图40

先摘除自身保护:

Clipboard Image.png 
图41

而后根据系统硬编码摘除其他的注册表回调便于将自身写入:

Clipboard Image.png 
图42

然后重新写入注册表项目:

Clipboard Image.png 
图43

中毒现象和查杀

主页被修改

Clipboard Image.png 
图44

多了两个一样的模块:

Clipboard Image.png 
图45

近期在上述站点下载过软件的玩家,都有可能被该驱动木马感。建议玩家一旦发现浏览器主页被反复篡改现象时,尽快使用安全软件对设备进行扫描查杀。

360安全卫士于国内率先实现对该顽固驱动木马的查杀清理,在此也提醒玩家尽量不要使用外挂,更不要听信外挂诱惑关闭杀软,给恶意木马可趁之机。

Clipboard Image.png 
图46

*本文作者:360安全卫士,转载请注明来自FreeBuf.COM

# 木马 # 加速器
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者