从一条微博揭秘专黑大V名人的定向攻击
360安全卫士 · 2015/12/10 13:02
0x00 前言
本月初微博上有知名大V晒出一封私信截图,私信是以某记者名义发出,要求采访该大V博主,并提供了一个网盘链接作为“采访提纲”。当博主下载网盘中存放的所谓“采访提纲”后,该文件被360安全卫士检测为木马进行清除。
我们根据截图中的网盘链接下载了伪装“采访提纲”的木马进行分析,发现这是来自于一个长期从事木马植入与数据窃取的不法黑客团伙,该团伙利用盗取或冒名的各类账号,对账号关联人发起攻击,木马功能包括录音、远程上传或下载任意文件、服务管理、文件管理、屏幕监控等,很明显是意图窃取数据进行勒索或售卖来谋取利益。
0x01 样本信息
0x02 样本流程图
0x03 样本详细分析
>> XXXX采访提纲.exe<<
木马作者将自己的样本做成一个word文档的样子。不管从图标还是名字上面来看都是word的样子诱导用户去点击查看。但是这个却是一个exe程序。该exe程序运行时首先会在C盘下面尝试写一个空文件,看是否能够写入成功。如果写入成功他就会删除该文件,然后开始执行一系列操作来在安装自己。首先释放大量文件,作者将自己的文件夹设置为了隐藏。如果我们的文件夹选项中没有勾选显示隐藏搜保护的操作系统文件我们是看不到的。
释放文件完毕后接下来会创建VSTquanjuhe.com这个可执行文件,VSTquanjuhe进程会运行explore来打开C:\OA
路径。弹出一个空的docx文档。(ps:测试没有装word,所以这里比较尴尬,没有word图标)
接下来用ua.exe这个程序来解压links.ini文件,解压密码为”█噎冪蕟嚄Щ暜囖醃∷滸濤∑”,解压后判断判断系统是多少位的如果是32位的就运行Win1.bat文件,如果是64位的就运行Win2.bat(Win2.bat内容和Win1.bat内容相似,只是不再判断是多少版本的系统)
>> Win1.bat <<
该文件的内容主要是先判断是否存在swapfile.sys文件,来判断操作系统版本的。如果存在就将test1.pfx重命名为2016mt.1r放到C:\Windows
目录下,否则就将test2.pfx文件重命名为2016mt.1r放到C:\Windows
目录下.接下来 调用regedit.exe来运行ua.lnk→运行mew.1r→msg 系统需要升级→关机重启
>>ua.lnk<<
写入注册表,并关联文件。将.1r文件与”VBEFile”文件相关联以及将.3f文件与”inifile”文件相关联。使这两种后缀的文件能按vbe和inf文件的形式打开。
>> mew.1r <<
该文件是一个被加密了5次的vbs文件,源文件打开看到的像是一堆乱码.
如图:
最后解密到的脚本内容
解密后的vbs文件的主要功能就是模拟鼠标去点击运行C:\$NtUninstallKB1601A$\BinBackup\MYTEMP
文件下的8.3f文件
>> 8.3f <<
在RunOnceEx下写入了一个注册表,开机时就启动2016mt.1r(vb文件)文件。
>> 2016mt.1r <<
开机后运行2016mt.1r→0s.bat文件→调用regdit运行lang2.lnk→解压abc1601.bat→运行shotdown
>> os.bat <<
用abc.os文件去覆盖qmvext.db文件,该文件时用来存放规则的文件。写入规则后的文件就不会被查杀了。这里作者用自己的数据文件替换用户的数据文件。就是为了绕过腾讯管家的查杀。不过这个漏洞在2013就在乌云上报道过了。
>> lang2.lnk <<
通过调用regeedit /s
来执行reg文件。该文件的主要作用是关联文件以及在注册表在Active Steup下的StubPath键下写入了C:\\$NtUninstallKB1601A$\\BinBackup\\super.inf
,写入注册表写入后,super.inf文件会在操作系统启动后第一时间启动。比任何一个程序都要先启动。
>> abc1601.dat <<
abc1601.data是一个被加密了的压缩文件。解压密码为“▓羋奤柒♀懋髖瓊♂蠟蕙纗▓ ”。解压后出现一个shotdown文件,然后ua.exe会运行shotdown文件,shotdwon释放FreeImage.dll文件,接下来FreeImage.dll会释放出并运行FreeImage.exe
>> FreeImage.exe <<
该文件是先将自己写的函数的地址写入在程序中,这样就提高了分析者对样本分析的难度
将地址写死在程序中后,通过对寄存器的调用来调用自己写的函数。一直在不停的call eax来调用函数
在对该远控功能分析的时候,我们发现该远控具备的功能大概如下
录音
远程上传以及下载文件
服务管理
文件管理
屏幕监控
复制代码
该远控主要通过注入svchost进程来启动。下面就是他的注入过程。先以管理员权限运行svchost.exe
接下来就对他进行注入了。先调用WriteProcessMemory函数对svchost.exe写入数据,接下来调用SetThreadContext函数来设置EIP然后调用ReumeThread来恢复线程
通过新设置的EIP我们找到了被注入的svchost.exe的入口地址(通过对写入文件前下CC断点),用OD附加后调试发现。被注入的文件就是FreeImage本身。如果注入成功,FreeImage就结束运行。不过不管注入成不成功svchost也会发起数据链接,结合在动态分析对该远控功能的分析和对数据包结构的分析。可以看出,该远控是一个灰鸽子改版过来的RemoteABC远程控制软件
图.上线包
如果系统版本不是win8及其以上,则2106mt.1r是由test1.pfx解密而来文件主要内容如下
运行os.bat(覆盖腾讯信任文件数据库文件)→解压abc.data→解压inst.ini→运行会释放出远控的shotdown.exe→调用regedit.exe运行lang1.lnk→重启电脑
>> inst.ini <<
解密后得到的文件是作者事先写好的360卫士的信任区数据文件和一个安全工具及其相关的组件
>> lang1.lnk <<
lang1.lnk将bmd.vbe写入了启动项里面。写入后会开机自启动,启动后运行bmd.vbe
>> bmd.vbe <<
bmd.vbe文件也是被加密过5次的vbs文件,它主要运行ub.lnk以及gsxt.bat
>>ub.lnk<<
ub.lnk解密mtfile.tpi文件。并执行ing.exe文件
>> gsxt.bat文件主要内容<<
gsxt.bat通过调用一个rootkit工具,删除替换杀软的信任区文件,从而将木马加入用户的信任区。尽管该木马专门针对360安全卫士进行破坏,试图躲过查杀,但360多重防护体系的“下载保护”将木马直接报毒清除,使其无法运行起来,从而有效保护了用户避免中招。
0x04 木马背后
在我们捕获的同族系样本中,还发现一个命名为“left and right base trigger, left and right bumper s136mould20000pieces.exe”的样本。该文件属于工程技术类文档,而图标则是一个文件夹图标。与上面分析的样本不同的的是,它是在OA文件夹下释放的,并且不再是Word文档,而是四个STEP文档。STEP文件是一个国际统一的CAD数据交换标准,根据这四个STEP文件内容来看,是针对SolidWorks 2014这款软件的。
这个木马团伙最近一段时间,使用远控控制服务器,均是位于青岛的阿里云服务器中心。
两个木马使用的远控上线地址:
下面是近期该族系传播比较多的几个变种,涵盖多个行业:
木马传播文件名 | 主要传播方式 | 木马传播主要针对人群 |
---|---|---|
2016年样片拍摄方案及费用1.exe | 聊天软件 | 摄影师、模特等从业人员 |
大道包装钢平台技术要求1208.exe | 邮件 | 工程项目相关从业人员 |
12-8日操作建议.exe | 聊天软件 | 股票证券相关从业人员/炒股人群 |
核实一下账户信息.exe | 聊天软件/邮箱 | 银行业相关从业人员/财会人员 |
超级3m汇款单.exe | 网盘 | 金融理财人群 |
新出楼盘.exe | 聊天软件 | 房地产相关从业人员/有房屋买卖需求人群 |
不难发现:木马的文件名、传播渠道、针对人群这三组指标都有极高的统一性,这明显不是那种常见的“撒网捕鱼”式的木马,而是前期先获取到一部分人的邮箱、通讯软件、社交平台等账号密码,之后人工分析原账号持有者的社交圈和社交习惯,再根据分析结果定向发送定制的木马程序,增加木马投放的成功率,同时也方便更有目的性和更高效的窃取中招用户机器上的资料。植入中招用户机器中的是远控木马而不是普通的盗号木马,这样也是更方便认为的控制要获取的资料,目的性进一步提高。
关系草图大体如下:
这里只是将已经展现在我们面前的第一层关系图画出来,不难发现在这种有人工参与的目的性极强的攻击方式下,很容易的形成一个链式反应。只要参与运营的人手够多,就足以在短时间内掌握大量的特定行业内部信息——而这能换取的经济利益显然是巨大的。
0x05 总结
此类定向木马具有明显的专一性,需要较高的人工参与度,所以传播方式并不是传统木马的以量取胜,而是转变为定点打击的精准小范围传播。虽然成本更高,但显然收益也更加可观。同时避免大规模的传播也就等同于降低了被各大安全厂商云安全机制发现的风险。
应对此类木马,安全软件的查杀固然必不可少,用户的自我防范意识也必不可少。对于好友突然发来的文件,也要多加注意。安全软件已经提示风险的文件,切莫随意打开。广大网民也要注意自身的账号安全,对于泄漏的密码要及时废弃,以防自己的账号成了木马团伙攻击的武器。360互联网安全中心也会继续关注该木马家族的发展,积极提供应对方案,保障网民安全。
从一条微博揭秘专黑大V名人的定向攻击相关推荐
- python数据分析 知乎_Python数据分析揭秘知乎大V的小秘密
前言 文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. 作者: 清风小筑 PS:如有需要Python学习资料的小伙伴可以加点击下方链 ...
- 微博VS知乎:争夺大V是场隐形的战争
PMCAFF(www.pmcaff.com):互联网产品社区,是百度,腾讯,阿里等产品经理的学习交流平台.定期出品深度产品观察,互联产品研究首选. 外包大师(www.waibaodashi.com): ...
- 微博的大V经济学,让自媒体今年赚了117亿
大洋彼岸的Twitter正在因为业绩衰败寻求卖身,它在中国的"徒弟"微博却搞了一场"2016年V影响力峰会",带着小伙伴展望未来.1000多位各行业" ...
- 【云周刊】第146期:史上最大规模人机协同的双11,12位技术大V揭秘背后黑科技...
摘要: 史上最大规模人机协同的双11,12位技术大V揭秘背后黑科技,INTERSPEECH 2017系列 | 语音识别之语言模型技术,机器学习初学者必须知道的十大算法,云数据库SQL Server 2 ...
- Python3+Selenium爬虫实战:微博粉丝榜水分大揭秘
高能预警!分析到最后,我不得不感慨这个世界太真实了! 文中有大量代码,注重阅读体验的请在PC站打开!或者直接去我的个人博客(www.data-insights.cn)阅读! 一.微博粉丝榜:一潭深水 ...
- 你所不知道的大数据:一条微博得到王思聪手机号
互联网已成为人们生活工作的重要组成部分,时时的网路连接不只带来便捷,也将我们所有数据保存到了网络空间中.然而这些越积越多的个人大数据,却为黑客入侵攻击大开方便之门.在今天举办的中国互联网安全大会(IS ...
- 聚焦技术和实践,腾讯全面揭秘基础设施和大数据演进之路
"开发者是推动技术发展的主力军,数字社会向前的每一步,都离不开广大开发者.作为数字化转型助手,腾讯云将秉持"开源.共享.创新"的三大理念持续助力开发者的个人成长和价值创造 ...
- 看完20000条微博,捋一捋杜蕾斯的营销套路
---- / BEGIN / ---- 全部图片来自@杜蕾斯官方微博 从2011年最早为人熟知的"鞋套雨夜传奇"事件,到刷爆网络的感恩节"品牌联合"事件,杜蕾斯 ...
- 盘点:2012年微博引爆的十大热点(组图)
盘点:2012年微博引爆的十大热点(组图) 文/@風瀟瀟 2012年的微博,一如过去三年一般精彩,各路大戏轮番上演.这篇盘点聚焦在2012年微博引爆的十大热点,以娱乐为轴,内容涵养经济.政治.文化.科 ...
- 500万条微博数据来源分析
最近项目不是特别忙,想做一些微博方面的分析和处理工作,如果自己现爬取微博数据,积累数据比较慢,恰好看到北理工张华平老师分享的500万条微博数据,直接借用他的数据分析.下载地址是:http://www. ...
最新文章
- 【连载】高效人士的116个IT秘诀(第2版)——秘诀24为你的时间建一个构造图
- 清华本科、港科大准博士被指论文抄袭,网友:这是有技巧的“洗稿”
- 优化mysql服务器硬件包括_MySQL优化之一:服务器硬件和操作系统
- 文巾解题 1446. 连续字符
- 万能数据库查询分析器使用技巧之(十四)
- Openstack的镜像上传原理
- python 三维数组_NumPy处理图像不香吗?我用Python把秋日里最美的景色做成了这种效果~...
- python 库 类_在Python中导入库类
- 2021数学建模国赛一等奖经验总结与分享
- Android Excel 解析 xls 和 xlsx,方法也可以很简单
- 5c5cSs,暗光提升明显 iPhone 5s/5c/5样张对比
- 读《潜伏在办公室》第二季
- QEMU(3) 参数解析
- Uboot SPL的Boot模式选择(从MMC切换到SPI启动)
- 收集得最全的sql 语句
- 在使用开源IOT平台Thingsboard时,遇到的编译问题一initial exceeded maximum budget
- 淘宝网和铁道部订票网站采用什么技术架构来实现网站高负载的呢
- 图像色深与位深度的区别
- 调试H5页面-weinre及spy-debugger真机调试
- 多普达586短信中心号码设置