freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

盗版激活工具暗藏木马 中招可能被远程控制
  • 关注
    盗版激活工具暗藏木马 中招可能被远程控制
    2019-01-07 11:46:38
    所属地 广东省

    概述

    近期腾讯御见威胁情报中心监测到一个具有劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族,该木马捆绑在一些破解激活工具中传播。腾讯安全专家建议用户尽量使用正版软件,避免下载使用那些盗版破解激活工具,以免因此中招。 

    木马首先会安装名为“VideoDriver”的Rootkit病毒,并在每次开机时劫持浏览器跳转到广告页面,然后注入系统进程svchost.exe并下载刷量木马y2b.exe刷量youtube视频。通过腾讯高级威胁溯源系统进行溯源分析还发现了具有相同C2地址的Chrome搜索劫持木马,以及可以完全控制用户电脑,将中毒电脑变成“肉鸡”的大灰狼远程控制木马。

    1.png

    木马攻击流程 

     

    为躲避安全软件检测,木马伪造正常商业公司的信息申请合法数字签名,再次提醒安全厂商不要轻易信任数字签名。感染数据显示,该病毒近期活跃度上升,广东、上海、江苏、浙江等地的受害电脑较多。

    2.png

    样本分析

    带病毒的激活工具运行后释放随机名驱动木马到C:\Windows\Temp目录下,伪装公司名为“VideoDriver”。

    3.png

     

    木马盗用签名“韵羽健康管理咨询(上海)有限公司”,利用合法的数字签名来逃避查杀。 

    从网上公开信息可查得,该公司的经营范围为:“健康管理咨询,减肥服务,展览展示服务,包装服务,一类医疗器械、化妆品、美容美发用品、母婴用品、日用百货、办公用品的批发、零售”。 

    该公司经营范围并不包含软件开发、信息技术等领域,因此不会有签名系统被入侵的情况,推测此次很可能是木马作者通过伪造公司的信息,向签名颁发机构申请了证书。

    4.png


    木马安装的关机回调导致每次开机时通过浏览器打开广告页面hxxp://count.b12.fun/jump.php

    5.png

     

    驱动木马创建设备对象\\DosDevices\\VideoDriver,应用层木马可通过该对象打开驱动并与之通信。

    6.png

     

    枚举进程PID,并通过PID找到进程svchost.exe

    7.png


    KeStackAttachProcess进入到进程地址空间并执行shellcode

    8.png

     

    Shellcode执行后从服务器下载hxxp://dl.ossdown.fun/y2b.dat,保存为本地文件C:\Windows\Temp\y2b.exe,然后拉起运行。

    9.png

    y2b.exe

    y2b.exe运行后上传机器信息到info.d3pk.com返回一个URL地址:

    hxxps://www.youtube.com/watch?v=peJ2vpMiU-s

    10.png

    该地址为Youtube视频页面,继续分析可以发现该页面用于广告刷量(没明白,在中国传播Youtube刷量病毒是几个意思?)

    11.jpg

     

    检测是否安装chrome浏览器

    12.png

     

    获取到登录状态开始访问刷流量

    13.png

     

    刷量时还支持关闭自动播放

    14.png

     

    支持检测全屏广告或局部广告

    15.png

     

    还会通过控件MSScriptControl.ScriptControl执行刷量脚本代码

    16.png

    同源分析

    通过通过腾讯安图高级威胁溯源系统分析y2b.exe的同源样本,还发现了通过安装chrome插件进行搜索劫持的木马样本,且该样本与“VideoDriver”使用的服务器域名具有较高相似度。 

    劫持跳转:http://count.b12.fun/jump.php

    劫持搜索:http://www.ab12.fun/info/info.php?brwoser=

    恶意Chrome插件

    木马上传用户安装的浏览器信息

    hxxp://www.ab12.fun/info/info.php?brwoser=

    17.png

     

    如果发现用户机器上存在chrome浏览器则在浏览器中安装恶意插件程序

    18.png

     

    在插件目录下,可以看到配置文件manifest.json,插件启动页面popup.html

    19.png

     

    Popup.html通过chrome.tabs.create来创建一个tab用来打开URL:www.15s0.com

    20.png

     

    访问该URL是一个不常见的搜索页面,并且输入任何内容进行搜索,都会返回搜索错误,推测可能被用来作为钓鱼网站或者利用页面传播木马。


    21.png

    远控木马

    通过腾讯安图高级威胁溯源系统对C2地址ab12.fun进行扩散分析,发现通过该地址还曾用于传播大灰狼远控木马88.dll

    22.png

     

    木马程序为了方便远程的文件更新,把恶意代码加密后放在远程的服务器中,下载后需要在本地解密,然后装载到内存中执行。

    首先通过CreateFile判断C:\Program Files\AppPatch\88.dll是否存在

    23.png

     

    不存在则解密出服务器地址hxxp://www.ab12.fun/tool/88.dll,并下载88.dl

    24.png

     

    获得下载样本88.dll后会检测文件尾部数据“SSSSSSVID:2014-SV8

    ”进行校验。

    25.png

     

    然后通过内存加载PE执行,内存中装载的PE文件任然通过加UPX进行壳保护

    26.png

     

    内存加载后获取导出函数DllFuUpgradrs的地址调用,调用时传播2个参数:第一个为加密过的数据块,第二个为字符串“Cao360yni”

    27.png

     

    字符串解密后得到上线配置信息,包括控制端IP地址154.48.232.234,端口8008,释放文件路径%ProgramFiles%\Microsoft Svoveu\.Dgzgpfj.exe,安装服务名、上线分组等信息。

    28.png

     

    从内存中dump出文件,并文件将脱壳后分析,得到一个DLL样本,该样本在导出函数DllFuUpgraders中进行服务安装


    29.png

     

    上线后连接C2地址154.48.232.234


    30.png

     

    构造GET、POST请求数据包,通过send发送数据包进行网络通信

    31.png

    32.png

     

    通过接收到的不同命令字跳转执行远程功能

    33.png

     

    木马具有:包括查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,删除文件,清除系统记录,查看系统服务,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。 

    尝试结束网络监控进程zreboot.exe、zrupdate.exe、zrclient.exe、arpguard.exe、Ingress.exe

    34.png

     

    通过枚举注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall搜集软件安装信息

    35.png

     

    搜集浏览器收藏夹URL数据

    36.png

     

    枚举搜索文件

    37.png

     

    执行指定程序

    38.png

     

    键盘记录

    39.png

     

    设置SeShutdownPrivilege获得特权并关机。

    40.png

     

    通过以下步骤设置系统允许多个用户同时连接3389端口进行远程桌面:
    (1)对如下注册表进行操作
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
    KeepRASConnections设置为REG_SZ值为1
    HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
    fDenyTSConnections设置为REG_DWORD值为0
    HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
    EnableConcurrentSessions设置为REG_DWORD值为1
    HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
    serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll


    (2)用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下


    (3)复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll


    (4)复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll

    41.png

     

    木马还具有中英文消息发送功能

    42.png

    安全建议

    1、不要运行来历不明的程序,谨慎使用激活、破解工具。

    2、关闭不常用的高危端口,如3389等。

    3、保持杀毒软件实时开启,如果安全软件已经报警,这样的激活工具更不能再使用。

    43.png

    IOCs

    域名

    www.ab12.fun

    b12.fun

    count.b12.fun

    info.d3pk.com

    dl.ossdown.fun

     

    IP

    154.48.232.234

    104.27.137.193

    104.27.157.2

     

    URL

    hxxp://www.ab12.fun/tool/88.dll

    hxxp://count.b12.fun/jump.php

    hxxp://www.ab12.fun/info/info.php?brwoser=

    hxxp://b12.fun/info.php

    hxxp://dl.ossdown.fun/y2b.dat

    hxxp://dl.ossdown.fun/g.dat

     

    MD5

    9e2233176e8dbfeb35dbe2ec56a6fa55

    cd3b172832b5eb0d531a2aaf1bca71fc

    b9da69c9b0428bd820f7a6a87f4c8f6d

    01e5b2fcebc9a965ee39ec1373d3603d

    ec8c214b58fa351b869ae3ffc8926f80

    03403276ffa7e47f05ce80d67792ef5e

    271728794b52c72b49df7a44d5f478ff

    7a9e28a294a64047e63795c0d6856944

    89b1a1a23650706119cde98a1da90eb1

    5fbc027c528f7bbd8b510ce75aa8c353 

    ca9130fa91f4c5b4e8fa10f5ecca87ea

    044fa5fbf71fbe1c440259cb16a28c3f 

    0607ff68c082bb47816ee4a6dea5013e

    7a9e28a294a64047e63795c0d6856944

    e9e22eb1a814a629bfe452f726fe9769

    ebfda79fbfcd98dcbdd3db7952c932c5

    # 腾讯电脑管家 # 劫持浏览器 # Rootkit病毒 # 弹出广告 # 视频网站刷量
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者