随着绝地求生、荒野行动等游戏大火,不少玩家会下载各种加速器用来加速游戏,而这些利用玩家求胜心理传播的加速器等外挂,却很快成了木马活跃的温床。近期,360安全中心发现一款借助“荒野行动”外挂扩散的驱动级木马十分活跃,传播量迄今已超10万次。
该加速器运行后界面显示正常,但是后台会静默注入桌面进程,下载各种恶意木马运行。木马会通过修改驱动结构体隐藏自身文件及驱动对象,创建进程回调对浏览器实施监控,借机劫持并篡改玩家所有浏览器的主页。值得注意的是,该木马的查杀难度极高,能够关机回写自身服务项,确保自身在开机最初运行,并做多重注册表保护。
下面是对该加速器恶意行为详细分析。
图1
而后在线程函数中检测恶意驱动设备是否存在:
图2
打开查找设备名:
图3
读取驱动下载配置:
图4
然后解密配置, 检测改主页驱动安装云标记是否打开。
打开是1,并且根据操作系统x86 x64分别使用不同地址。
下载安装驱动:
图5
调用 URLDownloadToFileW 下载驱动文件:
图6
启用该驱动:
图7
判断是否支持的系统:
图8
是否已经加载上:
图9
判断是否为第一次随机名加载:
图10
如果是随机名加载,则重新加载驱动并且将自身设置为System Reserved组:
图11
调用ZwLoadDriver重新加载该驱动:
图12
重新加载自身后创建符号链接:
图13
而后注册关机回调, 初始化浏览器进程数组 ,进程回调(用来判断浏览器改主页)。
图14
通过进程名称获取进程Pid:
图15
而后注册DriverReinitializationRoutine。
首先锁定自身文件,防止被杀软读取,保存驱动全路径并且隐藏自身驱动对象:
图16
查询系统所有模块:
图17
挑选其中的系统模块 然后复制其中驱动文件名和驱动文件路径:
图18
之后系统就会多出两个一模一样的驱动文件。
然后注册文件MiniFilter注册表回调保护自身注册表和禁止杀软模块加载:
图19
注册文件过滤防止模块加载:
图20
注册注册表回调保护服务项目:
图21
然后创建系统线程等待桌面进程启动后保护自身注册表项目:
图22
等待桌面进程启动后保护注册表项目:
图23
注册表回调发现一旦设置或者删除自身注册表项目 就返回拒绝并且通过开关控制。
图24
文件过滤中:
图 25
判断是否为浏览器进程:
图26
如果是这些进程中且为以下模块则返回STATUS_NO_SUCH_FILE。
图27
图28
主要是在进程回调中实。 判断是否为浏览器进程,然后通过修改命令行方式强行跳转:
图29
判断浏览器进程:
图30
通过遍历浏览器进程名数组实现:
图31
浏览器进程列表为:
图32
获取进程命令行:
图33
通过获取PEB中相关结构实现:
图34
获取进程命令行:
图35
而后 SafeChangeProcessCommandLine 修改浏览器进程命令行:
图 36
判断哪些窗口名或者是进程命令行跳过然后拼接命令行参数:
图37
实现浏览器主页修改:
图38
修改命令行函数:
图39
会清理调所有其他的注册表回调,并且重新回写自身服务项目。
图40
先摘除自身保护:
图41
而后根据系统硬编码摘除其他的注册表回调便于将自身写入:
图42
然后重新写入注册表项目:
图43
主页被修改
图44
多了两个一样的模块:
图45
近期在上述站点下载过软件的玩家,都有可能被该驱动木马感。建议玩家一旦发现浏览器主页被反复篡改现象时,尽快使用安全软件 对设备进行扫描查杀。
本文作者:360核心安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/69837.html
必填 您当前尚未登录。 登录? 注册
必填(保密)