密室内的枪声!“双枪2”感染过程实录

2018-04-08 7,779

前言

去年7月,360安全中心曾率先曝光国内首例连环感染MBR磁盘主引导记录)和VBR卷引导记录)的顽固木马——“双*”。月初,360安全中心发现“双*”新变种开始出没,并从其感染行为入手,进行了一次全面分析。

与此前爆发的“双*”木马类似,“双*2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双*2”使用了VBRMBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。

与此前不同的是,新变种“双*2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如设置了封闭的案发环境,对中招电脑进行了一次“密室*杀”。

以下是对“双*2”感染过程的详细分析。


1 安装包过程

1.1初始化配置

用户提供的样本安装包,安装包是带渠道号的,运行这个安装包后就会从网上下载一个DLL文件内存执行,下面是下载DLL文件并内存加载执行的流程:

安装包入口函数:

图片1.png 

1

该函数主要为获取ChannelId 并且设置上:

图片2.png 

2

从文件名中获取:

图片3.png 

3

而后设置到注册表中,后续服务器通信,打点回传都会用到该数据。

图片4.png 

4

设置上:

图片5.png 

5

而后调用下载DLL的函数:

图片6.png 

6

1.2读取解析服务配置

格式化通信数据:

图片7.png 

7

而后加密数据发送给服务器:

图片8.png 

8

然后下载解析服务器返回的配置文件,服务器有判断客户端IP,测试北京的IP返回空数据:

图片9.png 

9

解析配置文件:

图片10.png 

10

1.3下载加载释放驱动模块

 

获取到配置中下载URL后,下载对应的DLL文件:

图片11.png 

11

下载好后 计算下md5 跟配置文件中是否一致

图片12.png 

12

相同后解密数据加载:

图片13.png 

13

如果不是PE头,则或解密:

图片14.png 

14

修正导入表函数并且调用:

图片15.png 

15

图片16.png 

16

分配空间:

图片17.png 

17

调用入口点函数:

图片18.png 

18

而后调用导出函数DllUpdate

图片19.png 

19


2 释放安装驱动模块

2.1 环境检测

该模块为一个DLL主要导出一个功能函数DllUpdate

函数入口处先进行打点统计将统计数据打到服务器。

该函数被调用了很多次,几乎每个关键的步骤都有打点统计

我们看下这个函数:

图片20.png 

20

服务器地址为:

图片21.png 

21

而后发送请求:

图片22.png 

22

打点后,会对当前环境进行多次判定,决定而后否加载驱动:

图片23.png 

23

 

判断是否支持的文件系统和对应驱动文件是否完整,区分当前系统X86还是X64:

图片24.png 

24

其中IsWow64Process 为全局构造函数中初始化的:

图片25.png 

25

判断文件系统对应文件完整性:

图片26.png 

26

而后判断系统目录下配置文件是否存在:

图片27.png 

27

而后检测自身驱动是否已经加载,通过判断设备名是否存在。

图片28.png 

28

获取Nt基地址模块大小为生成随机设备名做准备:

图片29.png 

29

生成设备名:

图片30.png 

30

判断设备名存在:

图片31.png 

31

然后检测是否在虚拟机中运行, 这次主要是检测磁盘类型:

图片32.png 

32

检测方法:

图片33.png 

33

2.2 下载安装恶意驱动

主要是从服务器下载驱动文件

区分3264位系统 。

图片34.png 

34

获取渠道号:

图片35.png 

35

以安装包_后面带_或者.后面的数字作为推广渠道号:

图片36.png 

36

 初始化校验Key方法:

图片37.png 

37

 

然后下载驱动文件:

图片38.png 

38

下载:

图片39.png 

39

下载好后校验下文件:

图片40.png 

40

 然后初始化驱动安装加载系统函数相关代码:

图片41.png 

41

获取当前时间,并以这个计算随机驱动 文件名:

图片42.png 

42

获取随机驱动名:

图片43.png 

43

然后在安装驱动之前再检测下环境:

图片44.png 

44

检测这些工具:

图片45.png 

45

检测完成后,开始安装驱动,3264系统分别安装:

图片46.png 

46

我们看下X86安装下函数:

图片47.png 

47

首先提权:

图片48.png 

48

然后写人驱动文件:

图片49.png 

49

每次0x2000个字节,循环写入:

图片50.png 

50

然后写入服务项:

图片51.png 

51

图片52.png 

52

加载驱动:

图片56.png 

53

在完成驱动加载功能后,该模块还带有接受服务器指令,统计上传客户端信息,并执行恶意代码能力:

内存加载执行功能:


图片56.png 

54

 

图片56.png 

55

图片56.png 

56

加载执行DLL:

图片57.png 

57

收集用户网卡MAC机器PCID各种信息:

图片58.png 

58

统计用户机器上私服相关驱动:

图片59.png 

59

统计杀软信息:

图片60.png 

60

检测是否运行在VMVare:

图片61.png 

61


总结

针对MBR和VBR系列木马泛滥的情况,360首创了针对此类顽固木马的强力查杀技术,并且能够同时自动检测和修复MBRVBR,发现电脑浏览器主页被反复篡改无法恢复、或出现卡慢等情况时,可使用360安全卫士进行扫描查杀,彻底清除该木马。

360安全中心在此也提醒大家,尽量不要下载来历不明的软件安装,更不要轻易关闭杀软,给恶意木马可趁之机。目前,360安全中心也正在对“双*2”木马进行持续追踪,如有新成果将第一时间与大家分享。

本文作者:360核心安全

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/70327.html

Tags:
评论  (0)
快来写下你的想法吧!

360核心安全

文章数:70 积分: 76

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号