雲控攻擊之「人生在世」木馬分析

2021-01-13 中國網科學頻道

摘要

近期一款名為「人生在世」的木馬家族異常活躍,它隱藏在「小馬激活」、「種子搜索神器迅雷雲播版」、「寶寶CF刷槍軟體」、「遊戲啟動器」等軟體中,具有較強的免殺能力和大規模傳播能力,目前國內僅360安全衛士能夠識別查殺該木馬家族。

「人生在世」木馬的主要特點是純shellcode類雲端控制,木馬的雲控代碼藏在幾張美女圖片中,圖片和代碼以「人生在世」這四個字作為「接頭暗號」。

此外,該木馬組裝了「貝殼ARP防火牆」和「ADSafe」的兩個程序,通過白利用方式(針對合法軟體的DLL劫持)加載木馬執行,並採用文件回寫、驅動保護、遠程注入等多個方式隱藏自身。木馬激活後會接受雲端控制,向受害者電腦安裝大量軟體賺取推廣費,還會收集受害者信息,從而進一步推送更多惡意程序。

木馬分析

以「小馬激活」工具被捆綁的木馬樣本為例分析:

0x00 逝去的小馬激活

小馬激活工具官方公告:

網頁置頂聲明:

雖然小馬激活工具已經發了公告和聲明,但怎奈網上浩如煙海的搜索結果真假難辨。這也就給了居心不良者以可乘之機。

偽造的小馬激活MD5為:b85507eaf961dae7216b32a99d5ea9dd

所謂的「小馬激活OEM9」模仿得很真實,不僅圖標和真的一樣,界面也非常具有迷惑性。並帶有Shenzhen WangTengda Technology Co., Ltd.籤發的數字籤名,用以躲避部分安全軟體的查殺。

 

0x01 雲控ShellCode

用戶一旦上當,點擊「一鍵永久激活Windows和Office」按鈕後,木馬程序便會啟動,訪問網絡配置文件。地址如下:

hxxp://so.lyehk.com/yan.txt

hxxp://so.lyehk.com/so.txt

通過讀取在線配置文件,得到一個「圖片」文件的網址:

如圖,目前配置文件為:

hxxp://cdn.pcbeta.attachment.inimc.com/data/attachment/forum/201505/20/142734eg5yntyabgf6yln6.jpg

而下載回來的jpg文件雙擊後可以正常打開,看起來只是個普通的圖片而已(妹子身材不錯……)

但實際上圖片代碼中有大量的病毒代碼。木馬主程序會將該「圖片」寫入到以下路徑:

C:Program FilesCommon Filesaaa

完成後,木馬主程序會從偽造的圖片文件中,搜索「人生在世」的字符串。「人生在世」字符串之後的數據,即是一個完整的PE文件。

0x02 加載ShellCode

將後面的PE文件解出來,實際上是一個dll文件,該dll文件僅有要給導出函數:「a123」

Dll文件MD5:F3546FDE0E5E87F1176BA40790F6CCDE

雖然是個dll文件,但實際上木馬主體並沒有把dll落成磁碟文件,而是直接在內存中加載函數並執行。

該函數會向%ProgramFiles%路徑下釋放ADSafe.exe和beikecmm.dll,並啟動ADSafe.exe

被釋放文件MD5分別為:

ADSafe.exe : cb4eabb88e154e6e13b73ef7f6d4f6de

beikecmm.dll : c05ea3bcd40acc001370c1ad02c01985

其中ADSafe.exe帶有有效的數字籤名:Beike Internet Security Technology Co.,Ltd

由於沒有做足夠的安全校驗,ADSafe.exe會直接去動態加載同目錄下的beikecmm.dll,這樣在加載的同時,dll文件的DllMain函數即被執行

0x03 ShellCode * 3

ShellCode Dll執行後,會從自身的資源中再解壓出一段ShellCode,加載到內存中執行。

而內存中的執行代碼則如法炮製,去訪問另一份在線配置文件,下載偽裝的圖片文件

hxxp://so.lyehk.com/kan.txt

hxxp://cdn.pcbeta.attachment.inimc.com/data/attachment/forum/201505/20/151014y100odo0u5lk0atu.jpg

圖片如下:

當然,接頭暗號依然是——「人生在世」。

解出來的dll文件MD5為:48f025d14a689e58c1550dfed9cc47ed

同樣是不落成文件,而是第三次直接加載在內存中執行。

0x04 偽裝術

此時,加載了三重ShellCode的木馬程序會向真的ADSafe安裝程序目錄中釋放真的ADSafe主程序和一個adsCore.dll的dll劫持文件,用以迷惑用戶。並將其添加至啟動項:

偽裝正常程序的木馬程序:

木馬通過「正常」位置釋放「正常軟體」並註冊開機啟動項的方式,實現開機自啟動。啟動後,注入系統進程,隱藏自身工作模塊,繞開常規殺毒軟體的檢測。

0x05 作惡

之後,該程序通過網盤下載東方輸入法、QQ瀏覽器、金山毒霸、百度殺毒、百度衛士、百度瀏覽器、火絨在內的大批推廣軟體,並將安裝結果打點回傳。

木馬在下次開機啟動後,加載起來的木馬驅動,用來結束殺軟進程:

木馬查殺

木馬在與殺毒軟體的對抗中,變得越來越隱蔽,「人生在世」木馬就是一個典型。從功能角度來說,「人生在世」大量使用雲控結合shellcode的形式,成為真正的「雲」木馬,木馬落到本地的僅僅是一個loader(引導器)模塊,只負責在受害者電腦中活下來,並等待雲控shellcode下發,功能代碼均由雲端直接發布,具有無需升級、實時更新的能力。

目前國內僅360殺毒和安全衛士能夠全面查殺「人生在世」木馬及其變種,國內其它殺毒產品對這一家族木馬尚無法識別和防禦。

根據VirusTotal掃描結果顯示,捆綁木馬包目前只有7款殺毒引擎能夠識別,國內只有360入圍:

木馬工作模塊更是只有5款殺毒軟體能夠檢出:

360安全衛士可攔截並查殺「人生在世」木馬:

如果發現電腦莫名其妙多出一些陌生軟體,可以安裝360安全衛士進行快速掃描,檢測電腦是否感染了「人生在世」木馬。同時建議網友們選擇靠譜渠道下載軟體,避免使用來源可疑的外掛和破解軟體。

相關焦點

  • 「小馬激活」木馬利用搜索競價排名推廣 360全面圍剿
    此類木馬非但不能激活盜版系統,它還會篡改瀏覽器的收藏夾/默認搜尋引擎/主頁,並強制安裝大量流氓推廣軟體。360對木馬溯源調查發現,木馬的傳播源頭絕大多數來自搜尋引擎推廣的釣魚站。圖:360安全衛士攔截偽裝「小馬激活」的木馬很多用戶在裝完系統之後,最重要的一件事當然是「激活系統」。雖然我們並不贊成大家使用盜版軟體破解作業系統,但也無意幹涉用戶的選擇。
  • 「Cookie大盜」木馬分析報告
    首頁 > 傳媒 > 關鍵詞 > 分析最新資訊 > 正文 「Cookie大盜」木馬分析報告
  • 今日推薦歌曲《人生的旋轉木馬》
    歌曲傳送門:分享久石譲的單曲《人生的旋轉木馬 (電影《哈爾的移動城堡》插曲)》: http://music.163.com/song/28457571/?userid=253325814 (來自@網易雲音樂)
  • 黑客實例講解木馬的分析方法!
    一切工具準備就緒了,我們開始分析這個木馬。注意:這時候,木馬又在你的系統上運行了一次,所以必須按照前面的清除步驟重新把它清除掉。由於前面已經寫過清除方法,這裡就不再贅述了。 好了,現在我們已經得到了這個木馬加殼前的原始文件了,看看脫殼過的gwns.exe,有194k之大,比原來的程序大了一倍還多,這就是加殼軟體的功勞了。現在就可以使用反彙編程序對其進行反彙編,然後看它的彙編程序代碼了。
  • 人生在世,悟透一個「忍」字,你就贏了
    忍得了一時,才能驅走人生路途中的陰霾,換來黎明與陽光。古人有云:「小不忍,則亂大謀。」意思就是說,小事忍不了,就會壞了大事。可見,忍,也是一種格局,是一種遠慮的思想,是一種高瞻遠矚。人生在世,如果懂得了「忍」這個字,悟透了這個字,那麼你就贏了。忍耐非議與批評,有則改之無則加勉人這一生,難免會遭遇別人的指責、非議、批評,甚至是辱罵,這不僅會讓人覺得尷尬,而且會難以忍受。
  • 王國紀元機關木馬打法介紹 阻止英雄發動攻擊
    王國紀元機關木馬怎麼打?如果你現在正挑戰機關木馬,就可以按照小編提供的相關信息,快速完成機關木馬關卡。
  • 鬼谷子:人生在世不可不懂的3句人生教條,不懂之人註定不成氣候
    但這個世界上沒有純碎的善良或惡毒,普通人人都生活在中庸之中,不懂該怎麼把控自己的人生。在孔子的中庸之道中,一系列的說教是為了導人向善,正如易中天解讀《論語》時所說:與人為善最根本的判定方式是看他有沒有惻隱之心。
  • 海蓮花APT組織樣本跟蹤分析|apt組織|海蓮花|惡意軟體|oceanlotus|...
    安全分析與研究專注於全球惡意軟體的分析與研究APT組織簡介OceanLotus(海蓮花)APT組織是一個長期針對中國及其他東亞、東南亞國家(地區)政府、科研機構、海運企業等領域進行攻擊的APT組織,該組織也是針對中國境內的最活躍的APT組織之一,該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透
  • 另類解讀夏亞的傳奇人生
    我出生於U.C.0059, 吉恩·什姆·戴肯之子,那時我的名字是卡斯巴爾·雷姆·戴肯,曾經我是一個萌萌的小正太,有一個慈祥的母親、可愛的妹妹。突然有一天,多茲魯同志對我說「扎比家決定了,就由你,吉翁的驕傲——紅色有角三倍速、蘿莉控、戀母癖,赤色彗星夏亞,去追擊聯邦的白色木馬」。        一個人的命運雖說掌握在自己手中,要靠自我奮鬥,但是在歷史的車輪面前,一切都是徒勞的。就如我絕對不會知道,我一個小小的軍官,怎麼就讓我去追擊白色木馬了呢。       我毫不謙虛的說,另請高明吧。
  • 有關冒充疾控中心發布「新冠疫苗免費預約接種」的木馬病毒...
    有關冒充疾控中心發布「新冠疫苗免費預約接種」的木馬病毒信息!來源:澎湃新聞·澎湃號·政務 近期,多省市已發生冒充疾控中心發布新冠疫苗信息引誘群眾點擊含木馬網址的詐騙
  • 騰訊安全預警:Gorgon以PPT為誘餌投遞攻擊郵件,政企用戶需高度警惕
    病毒木馬無孔不入,如今連PPT也難逃「魔掌」。日前,騰訊安全威脅情報中心檢測到多個企業受到以PPT文檔為誘餌的釣魚郵件攻擊。經分析發現,該攻擊由Gorgon黑產組織發起,被投遞的PPT文檔中均包含惡意宏代碼,用戶 病毒木馬無孔不入,如今連PPT也難逃「魔掌」。
  • 人生在世不過舊夢一場
    擁有高學歷,可以讓自己的人生起點更好地向夢想延伸,什麼學歷沒有用,經驗才是重要的,都是自欺欺人的鬼話;一個好的文憑就是通往成功的通行證,就是自我標榜的名片。似乎人生沒有時間停下腳步,工作還沒有順心如意,婚姻的話題又頻頻泛起,結婚、生子、父母、子女、養老到生命盡頭,就像歌裡唱的「還沒好好感受年輕我們就老了」。
  • 先鋒雲控系統!什麼是雲控?雲控和群控的區別有哪些?
    先鋒雲控引流系統,一臺電腦輕鬆控制上萬臺手機,完全解放雙手,代替人工模擬人工自動化運行,對電腦配置沒有任何要求,採用谷歌公司自動化測試框架研發的模擬人工觸屏技術,全部採用真實手機,一機一號,不需要數據線連接,不需要主機伺服器,運行穩定安全係數高。
  • 雲控系統安全麼,怎麼辨別真正的雲控
    現在市面的雲控很多我們應該怎樣去選擇,今天小編分享給大家,大家可以參考參考,希望對大家有幫助。我們在選擇雲控系統的時候,首先要了解雲控系統是不是能滿足我們的需求,現在市面上很多雲控系統用的是腳本運行,剛開始 用著還行,用幾天後就不能用了,沒有保障。
  • 木馬樂隊,舊城之王,孤絕而歸!
    2020年7月25日,木馬樂隊在《樂隊的夏天2》的現場,用一首《舊城之王》證明了自己還是當年的木馬,搖滾界的地下之王。廣州樂評人張曉舟在後來回憶九十年代末的中國搖滾樂時分析道,當時中國急需的是能「噴」的樂隊。「各地音樂節理所當然邀請的全是能「噴」的樂隊。舌頭、微和木馬都是同一批出道的年輕樂隊,但舌頭和微比木馬能「噴」。」張曉舟的分析認為,是市場和歌迷先拋棄木馬。
  • 千萬別再把雲防火牆和Web應用防火牆搞混了
    但大多數人所熟知的是Web應用防火牆,也就是我們俗稱的WAF,在企業紛紛上雲的大趨勢下,雲防火牆便是作為企業上雲的第一個基礎安全設施而生的新一代防火牆。企業上雲不免面臨很多安全問題,其中最基礎的網絡安全問題無外乎雲環境下公網IP位址申請便捷,如何統一管控公網IP?網際網路漏洞頻繁,針對漏洞攻擊不斷,如何智能攔截?
  • 騰訊雲安全報告「二」:SSH 暴力破解正從雲平臺向物聯網設備遷移
    「SSH 暴力破解趨勢:從雲平臺向物聯網設備遷移 」正是騰訊雲於近日發布的發布2018上半年安全專題系列研究報告之一。該系列報告圍繞雲上用戶最常遭遇的安全威脅展開,用數據統計揭露攻擊現狀,通過強大的溯源能力還原攻擊者手法,讓企業用戶與其他用戶在應對攻擊時有跡可循,並為其提供可靠的安全指南。
  • 人生在世,有三種錯誤不能犯
    人生在世,有三種錯誤一定不能犯。因為一旦犯了,輕則受傷,重則可能會毀掉自己整個後半生。俗語有云:「天狂有雨,人狂有禍。」不管是做人還是做事,高傲自大,目中無人,只會讓傲慢毀了自己。天外有天,人外有人。只有做人做事,永遠懷著一顆謙遜的心,才能夠讓自己走得更穩,更遠。
  • 應急響應系列之無文件攻擊分析
    一、概述1.1 概述前段時間遇到一起案例,主要是通過powershell進行挖礦的,使用該技術來進行挖礦的案例非常之多,但是個人感覺還是可以總結與分析一波,可以對這種技術進行詳細分析以後討論一下如何進行有效的監測與防護。
  • 雲之彼端,是我們約定的地方
    若所有的一切都是因為你,那為何人生前行的路上這麼艱難!如若放下了,就真的是放下了嗎?人生在世,不屬於你的,即使再怎麼努力也不會改變,屬於你的其實一直都在你手中。人生就是在與自己較勁的過程中,不斷遇到,又不斷捨棄,又不斷遺忘的一個過程。誰能夠得到那全部的幸福呢!上天不會把所有的美好都集中在你一個人身上,在得到的同時,又讓你失去。