移花接木大法:新型“白利用”华晨远控木马分析
360安全卫士 · 2015/05/28 5:11
0x00 前言
“白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。
随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文件后,再次启动白文件并卸载白进程内存空间,然后重新填充病毒代码执行。
这种“移花接木”的手法,使得病毒代码均通过白进程主模块执行,能够绕过多数安全软件的主动防御规则,具有较强的存活能力。以下是对此木马详细的技术分析:
0x01 木马分析
该木马伪装成“美女图片”通过社交软件、电子邮件等方式传播,一旦中招,电脑将被黑客发送指令执行摄像头监控、屏幕监控等远程控制行为。目前已知该木马主要变种达到22个。
图:“华晨同步专家”远控木马及变种
图:木马执行过程
“华晨同步专家”木马文件:
美女图片.exe:运行后会释放update.exe、ETComm.dll、wc.dat这三个文件,并运行update.exe。这种“三合一”的打包方式相比压缩包更利于木马传播。
- update.exe:盛大网络的ET语音启动程序
- ETComm.dll:用于劫持盛大程序的木马dll文件
- wc.dat:zlib压缩加密的远程控制木马
我们首先从ETComm.dll入手分析:
ETComm.dll分析过程
DllMain中首先获取模块完整路径
比较自身完整路径是否为C:\$WinBackUP.H1502\BinBackup\Images\update.exe
如果不在C:\$WinBackUP.H1502\BinBackup\Images
目录下则将ETComm.dll
、wc.dat
、update.exe
拷贝过去,接下来直接进入100016A0
100016A0进来以后首先访问C:\$WinBackUP.H1502\BinBackup\Images\wc.dat
申请一段内存后将wc.dat的内容读进去
将读出来的文件内容的前四位与0x36异或,得出0x14E00
将解密出来的0x14e00给到一个变量
紧接着就申请出来一块0x14E00大小的内存
之后将这些数据作为参数传递到Zlib的解压函数中
解出来的数据如下
由此我们可以得出wc.dat的结构,第一个DWORD存放的是UnpackFileSize,之后的数据存放的是压缩后的文件数据,此时是最好的dump时机。
Dump出来的文件:
接下来是为内存运行exe做准备了
alignPEToMem函数主要作用为加载PE到内存,该函数主要内容为对其exe节数据进行初始化操作。AttachPE主要作用为创建外壳进程(盛大网络ET语音启动程序),并替换进程数据然后执行真正的病毒代码
我们重点来看下AttachPE函数的行为:
首先挂起模式再次运行C:\$WinBackUP.H1502\BinBackup\Images\update.exe
调用GetThreadContext获取信息目标进程的线程句柄
得到的信息存放在结构体lpContext
中,接着读取了目标进程的lpContext
结构体中Ebx+8
的数据。
[lpContext.Ebx+8]
处存的是外壳进程的加载基址,该目标进程的基址为0x00400000
动态获取ntdll
的ZwUnmapViewOfSection
并调用,卸载目标进程原外壳内存数据
重新在目标傀儡进程中申请傀儡代码用到的内存,0x00400000
大小为2C000
内存申请成功后在傀儡进程的Context.ebx+8
中写入新的基址(因为两个文件基址都为0x400000
,所以这一步并没有什么用,但是如果对于两个基址不一样的文件这一步就非常必要了)
然后在新申请的内存中写入已经展开了所有节数据的病毒代码,大小为0x2C000
重置运行环境中的入口地址,新的OEP为基址+0x0002A820
更新傀儡进程运行环境后恢复傀儡进程运行
至此ETComm.dll的任务已经完成,直接退出了进程
接下来我们来分析被偷梁换柱的update.exe进程
从入口点我们可以看出是UPX加壳
直接ESP定律到程序OEP,入口点代码可以看出是VC6.0所编译
来到Main函数我们可以看到先是调用了一些sleep(0)
后面有一些字符串单字节赋值,我们可以看出他拼出来的字符串是Kernel32.dll和GetMoudleFileNameA,分别给到了变量LibFileName和ProcName
动态获取GetMoudleFileNameA
通过GetMoudleFileNameA获取到文件所在路径后,将该路径写入注册表作为启动项,启动项名称为“Realtek高清晰音频管理器”
获取资源中的名为“dll”的资源
解密算法为
xor 0xF1
add 0xF1
复制代码
中间有很多sleep(0)做干扰
解出来的文件
Dump出来是dll简单观察发现是华晨远控(Gh0st修改)
继续往下就是内存加载dll。抛弃系统的LoadLibrary和GetProcAddress来自己实现则会使dll不用落地,其目的是躲避安全软件的云查杀。
LoadLibrary的实现过程如下:
申请内存,写入PE头数据
循环拷贝各个节数据
处理重定位
读取dll的引入表部分,加载引入表部分需要的,并填充需要的函数入口的真实地址
dll
修改各个节内存属性,单独设置其对应内存页的属性
执行DllMain函数
GetProcAddress实现过程:
调用自写GetProcAddress获取“Fi”导出函数并调用
Fi函数负责将整个远控执行起来了。
以下是远控基本信息:
远控上线地址:dddd.ndiii.com
端口:2012
分组名称:Default
远控官网:http://www.jinjingltsh.com/
复制代码
“华晨同步专家”官网号称“拥有国家政府机关认证,与众多安全厂商均有合作”,实际上完全是其捏造的。
0x02 总结
通过以上分析我们看出,“华晨同步专家”远控木马的新颖之处,在于利用白进程内存运行exe,内存运行dll,真正的病毒文件并不落地,仅存活在内存当中,具有较强的免杀能力。
根据VirusTotal对此木马较新变种样本的扫描结果,57款杀毒软件中有17款可以将其检出,检出率约为30%:
移花接木大法:新型“白利用”华晨远控木马分析相关推荐
- “大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- 一款远控木马分析,仅供学习思路用途
最近一段时间在面试病毒相关岗位,有的公司会电话.远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告.下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步 ...
- H-WORM家族远控木马分析与处置
病毒背景 H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月.因为其简洁有效的远控功能.非PE脚本易于免杀.便于修改等 ...
- 远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
本文讲的是远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流,如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少"网盘不限速神器"或者 ...
- “白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
- 远控木马中的VIP:盗刷网购账户购买虚拟礼品卡
本文讲的是远控木马中的VIP:盗刷网购账户购买虚拟礼品卡,为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限.正因为有这种需求,各种所谓的"网盘不限速神器"或是 ...
- 安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播
前言 攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难. 从 2021 年 10 月 26 日开始,研究人员发现多个远控 ...
- [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...
最新文章
- java jdk 环境变量配置(window 10 系统)
- 0、Spring 注解驱动开发
- 游戏设计行业标准测试:秘密收集
- ALDownloadManager 基于Alamofire封装的下载器
- 网站内容为王?内容页的优化方法有哪些?
- 产品设计眼中的运营,互联网营销
- OpenCV中阈值操作
- 没牙虎小apple的幸福生活
- 1025 反转链表 (25 分
- 使用conda/pip安装pytorch 0.3.1教程(mac/windos/linux) pytorch 0.2.1
- 相约金陵丨7月9日,云和恩墨大讲堂 · 南京站邀您共论数字化转型实践
- 机器视觉:偏振片应用
- 20180513 实参 形参 数组
- 【Linux开发】OpenCV在ARM-linux上的移植过程遇到的问题2---CMAKE配置问题
- Java比较器-学习
- 物联网人工智能软件市场现状研究分析报告 -
- 论文笔记 ACL 2017|Exploiting Argument Information to Improve Event Detection via Supervised Attention
- 八戒帮扶V5微信公众平台任务系统完美运营v1.5.8
- springboot项目多moudle打包到一个jar
- 新一代科学计算与系统建模仿真平台MWORKS发布预告
热门文章
- 运营管理 优化成本管理成就卓越绩效采购
- 【​观察】全国首个智能语义平台上线 神州泰岳开放语义技术的“图谋”之大...
- pycharm中找不到vue插件
- html注释的爱情故事,世界上最浪漫的88个爱情故事
- BIM Revit 模型导出 1
- 符号_EPLAN~符号库及符号的新建
- c#list,Dictionary,Queue,Stack
- 微信小程序入门到实战(三)
- 小戴门户站转来的mysql_fetch_array()运用
- 不开电脑机箱,Ubuntu下软件清除bios密码