0x1 概述
近年来,随着部分顽固木马通用感染代码开源的扩散,黑产团伙在软件供应链、盗版系统等多个环节大规模植入Bootkit或Rootkit类木马,以获取在用户机器上执行任意代码的高权限,用户机器沦为随时待宰杀的“肉鸡”。利用“肉鸡”,不法黑客可以通过构造僵尸网络、抢夺浏览器主页、静默推装软件等牟取到巨额利益,使普通网民的系统安全遭受严峻的安全威胁。
本文主要从传播渠道、影响范围、获利方式、技术特点和典型案例等多个维度盘点Bootkit/Rootkit类的顽固木马。
1. Rootkit类木马
Rootkit一词来自于unix领域。由于unix主机系统管理员账号为root账号,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。Rootkit的初始含义就在于“能躲避管理员发现持续维持root权限的一套工具”。在Windows系统中Rootkit木马为了实现隐藏,通常是通过加载驱动进入系统内核层,并通过修改系统内核实现隐藏指定的文件、进程、网络链接等信息。
2. Bootkit类木马
指在系统开启阶段(boot)就已植入的Rootkit木马,可以认为Boot和Rootkit木马的集成,常见的Windows Bootkit包括感染BIOS(基本输入输出系统)、MBR(主引导记录)、VBR(卷引导记录)等。
(图1:Windows系统开机启动顺序图)
0x2 Bootkit木马
2017年爆发了多起感染磁盘MBR,VBR的Bootkit木马事件:4月份爆发感染磁盘MBR的暗云系列木马暗云Ⅲ;7月份爆发感染磁盘VBR的异鬼Ⅱ木马;Kuzzle木马既感染磁盘MBR又感染VBR。此外,2017年还发现了感染BIOS的谍影木马。相对于MBR和VBR,BIOS的感染更复杂,技术难度也更高。
1. MBR(主引导记录)感染木马
MBR英文全称Main Boot Record(主引导记录),是位于磁盘最前边的一段引导代码,由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。MBR共占用512个字节,由三个部分组成,包括446字节的引导代码、64字节的4个分区表和2字节的结束标志位(0xaa55)。MBR感染主要是篡改了MBR结构里的引导代码部分,BIOS启动后将控制权转交给MBR,这时感染了MBR的Bootkit木马就获得了执行控制权。
(图2:MBR结构示意图)
2. VBR(卷引导记录)感染木马
VBR英文全称Volume Boot Record(卷引导记录),在引导分区表项的四个主分区里面,只有一个是激活的,计算机会读取激活分区的第一个扇区,叫卷引导记录。其主要作用是,寻找激活分区根目录下的NTLDR(XP)、bootmgr(Win7 以上)、grldr(Grub)等可用于引导的程序。VBR感染木马往往修改了系统BootMgr loader的代码(主分区0x27A开始),当系统执行控制权转交到VBR后,VBR木马便获得了执行,可在系统加载之前优先执行恶意代码。
(图3:VBR感染的BootMgr loader区域)
3. Bootkit木马传播渠道统计
和APT攻击中用户是被动攻击中招不同,Bootkit木马感染用户机器更多的是用户的主动行为导致的,如用户到一些第三方下载站下载软件时使用高速下载通道,其中的高速下载器就可能捆绑了恶意木马;或是在玩游戏时使用游戏辅助、私服登录器等,这些软件往往都会捆绑了恶意木马。
在这些传播渠道中下载站高速下载器又是其中的罪魁祸首,相对其他传播渠道而言,下载站拥有更大的受众,流量更广,因而影响也更大。以异鬼系列Bootkit木马为例,之所以感染机器达到上百万,下载站高速下载器就是其中重要的推手。
通过整理2017年多起典型的Bootkit木马感染案例,可以看到其传播渠道主要有下载站高速下载器、外挂、游戏辅助、私服登录器等,其中下载站高速下载器占比最大(37%)。
(图4:2017年Bootkit木马传播渠道占比)
4. 传播趋势及影响范围
Bootkit在感染用户机器后,往往会潜伏一段时间,等感染机器数累积到一定量后,再接受云端指令,执行相应的恶意行为实现获利,如锁主页、刷流量等。因此Bootkit往往会表现出”爆发”的态势,但实际上其感染过程是一个持续渐进的过程。
近年来,腾讯电脑管家持续追踪Bootkit感染事件,并在2017年率先发现多个Bootkit爆发事件,包括感染MBR的暗云系列Bootkit木马,感染VBR的异鬼系列木马等等,其中暗云系列首先发现于2015年,并在2017年4月其变种暗云Ⅲ再次爆发。异鬼木马发现于2016年,其变种异鬼Ⅱ于2017年7月再次爆发。
(图5:重要Bootkit木马感染事件)
2017年4月出现暗云系列Bootkit木马变种(感染MBR)暗云Ⅲ,并在6月份大规模爆发DDoS攻击。此后,腾讯电脑管家等安全软件推出专杀工具,木马影响机器数逐步下降。
(图6:2017年暗云系列Bootkit木马影响机器数走势)
2017年7月腾讯电脑管家再次发现异鬼系列木马变种异鬼Ⅱ,影响用户机器将近200万台。此外,腾讯电脑管家等安全软件推出专杀工具,木马影响机器数逐步下降。
(图7:2017年异鬼系列Bootkit木马影响机器数走势)
5. Bootkit木马获利方式分析
Bootkit木马在感染用户机器后,会通过一些方式变现获利。整理了2017年多起典型的Bootkit木马感染案例,可以看到其最主要的获利方式有:刷流量、锁主页、恶意推广、网络攻击等。
其中通过刷流量及网络攻击实现获利的占比最高(29%),其次是锁主页及恶意推广,占比14%。
(图8:2017年Bootkit木马主要变现方式占比)
主要获利方式如下:
锁主页 |
把用户主页修改为带推广ID尾巴的主页,进而从对应平台赚取佣金 |
恶意推广 |
通过后台恶意弹窗广告,或者静默安装软件,进而从对应广告联盟赚取佣金 |
网络攻击 |
通过云控指令对指定目标实施DDOS流量攻击,进而从打手雇主获取相应报酬 |
刷流量 |
通过云控指令对指定自媒体等刷点击,浏览量,进而从雇主或平台获取佣金 |
6. Bootkit木马技术特点
和其他木马相比,Bootkit木马呈现出技术利用更复杂、启动更早、隐蔽性更高、与杀软对抗性更强、操作系统全量兼容、云端控制等技术特点。
启动早 |
通过感染磁盘MBR,VBR,BIOS来实现开机启动,在系统引导阶段获得执行控制权。 |
隐蔽性高 |
可以实现无文件,无注册表,分析人员难以发现 |
杀软对抗性强 |
对安全厂商的“急救箱”类工具做专门对抗,通过设备名占坑的方式试图阻止某些工具的加载运行。 |
操作系统全量兼容 |
兼容xp、vista、win7、win8等主流操作系统,包括64位和32位。 |
云控 |
实际作恶的模块由云端下发,作者可任意下发功能模块到受害者电脑执行任意恶意行为。 |
7. 典型案例
2017年有多起重大的Bootkit感染事件,如”隐魂”,”异鬼Ⅱ”,”暗云Ⅲ”,”Kuzzle”等。由于Bootkit木马启动方式,自保护方式等都有着相似之处,这里以”暗云Ⅲ”为例,进行简单剖析。
1) 启动方式
MBR木马通过感染磁盘MBR来实现开机启动,通过一步步的hook来跟随系统的引导流程进入系统内核执行。以暗云系列Bootkit木马为例,其启动过程可概括如下:
a) 电脑开机后,受感染的磁盘MBR第一时间获得CPU的控制权,随后将磁盘3-63扇区的木马主体加载到内存中解密执行。
b) 木马主体获得执行后会挂钩int 15中断,系统引导启动时会通过int 15中断查询内存信息,此时挂钩15号中断的木马便得以第二次获得CPU控制权,获得控制权后木马挂钩BILoadImageEx函数。
c) 当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时,木马便第三次获得控制权,获得控制权后木马再一次执行挂钩操作,此次挂钩的位置是ntoskrnl.exe的入口点。
d) 当引导完毕进入Windows内核时,挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权,随后分配一块内存空间,将木马内核的主功能代码拷贝到分配的空间中,并通过创建PsSetCreateThreadNotifyRoutine回调的方式使主功能代码得以执行。
(图9:2017年暗云系列(MBR) Bootkit启动过程示意图)
2) 自保护方式
a) 暗云Ⅲ根据磁盘类型和操作系统替换DriverStartIo、 AtapiHwStartIo、RaUnitStartIo等函数,实现阻止其他程序读取磁盘1-3F 扇区(MBR)。当检测到读MBR时, 返回一个构造好的正常的MBR,检测到写MBR时,则直接pass 该操作。
(图10: MBR保护挂钩逻辑示意图)
b) 新增一个计时器,在DPCRoutine 中反复检测磁盘钩子,如果钩子被删除则重新挂钩,挂钩超过5次则强制重启机器。检测自身代码是否被patch,一旦发现自己被patch则蓝屏。
c) 对指定设备名进行占坑,对抗急救箱工具。
(图11:占坑对抗急救箱代码)
3) 木马功能模块
lcdn.db是暗云Ⅲ木马的主要功能模块,直接在内存中加载执行,该模块集成了lua脚本解释器,其主要功能不断从https://www.**sewle.com:8877/ld/ndn.db处下载lua脚本,并解释执行,该脚本非常频繁地变换中,通过跟踪几个脚本,发现当前下发的脚本主要功能是刷流量和攻击网站。控制者可随时更新服务器上的脚本,执行各种恶意行为,对用户电脑造成严重的安全隐患。
(图12:木马功能模块)
4) 传播源及获利方式分析
a) 传播源
通过对暗云Ⅲ木马持续追踪分析,腾讯电脑管家发现多个下载暗云Ⅲ木马的恶意程序。经详细分析,此类恶意程序通过对正常的“赤月传说”、“传奇霸业”等游戏微端进行patch,进而伪装成游戏,通过各大下载站的下载器等多种传播渠道进行海量推广。
具体分析恶意“赤月传说”微端后,发现无论是patch方式,还是内部的shellcode,与暗云木马一致,也就是说可以确定,暗云木马的开发者与恶意游戏微端的开发者是同一伙人。
(图13:传播暗云木马的恶意微端安装包及下载器)
b) 获利方式
理论上暗云木马通过云端命令控制可以通过多种方式变现获利,通过跟踪几个脚本发现当前下发的脚本主要功能是刷流量和攻击网站,目前其主要变现方式为刷流量和网络攻击。
0x3 Rootkit木马
Rootkit木马在Ring0层执行,有着较高的权限,往往通过挂钩磁盘钩子、注册回调等技术手段实现自保护,呈现与杀软对抗激烈,变种多等特点。2017年电脑管家披露了多起重要Rootkit感染事件,如“狼人杀”木马、“奔雷”木马等。
1. 传播渠道
与Bootkit相比,Rootkit的传播渠道更加广泛,感染的机器及影响的用户也更多。Bootkit木马的运行往往也是先解密加载Rootkit,再通过Rootkit执行其它恶意行为。
对2017年度广度较高的Rootkit进行抽样统计,可以看到其主要传播渠道有激活工具类软件、下载站高速下载器、私服登录器、第三方软件释放、ghost预装系统自带等,其中下载站高速下载器占比最高(20%),其次激活工具类软件、外挂及私服登录器各占比15%。
(图14:2017年Rootkit木马传播渠道占比)
Rootkit的传播往往利用了部分用户的刚需,如部分游戏玩家需要用到的游戏辅助、外挂等。此外,一些ghost预装系统也经常预埋Rootkit木马,不少知名的操作系统下载站会在部分预装系统镜像里捆绑Rootkit木马,下表为部分问题网址。
(图15:部分问题网址)
2. 传播特点及影响范围
Rootkit的传播呈现出蹭热点的特点,往往捆绑在热搜话题的相关资源上,如热搜影视剧下载资源、热门游戏外挂辅助等,且利用搜索引擎竞价推广,以出现在靠前的搜索显示页上。如在某搜索引擎上搜关键字“小马激活”,不少靠前的搜索结果都捆绑了Rootkit,且大都是临时注册的推广网址。
(图16:捆绑了Rootkit的推广网站)
3. 获利方式
Rootkit感染用户机器后其变现获利方式也更加多元化,对2017年度广度较高的Rootkit进行抽样分析统计,可以看到其主要的变现获利方式有刷流量、锁主页、恶意推广、网络攻击、挖矿等。其中锁主页仍然是最主要的变现方式,占比高达38%,其次为刷流量及软件推广,占比17%。另外通过挖矿获利也逐渐增多(占比8%),似乎逐渐成为一种趋势。
(图17:2017年Rootkit木马主要变现方式占比)
4. 典型案例
腾讯电脑管家发现多起Rootkit木马案例,如海盗船系列,狼人杀系列,小马激活系列的Rootkit木马等。以小马激活木马为例对Rootkit木马的传播渠道、技术特点、获利方式等进行简单分析如下:
1) 传播渠道
本案例中的小马激活木马,其传播源是激活工具软件。由于多数网民使用的都是免费版的软件,而这些软件到了期限往往要输入序列码等等,于是乎网上各种激活软件盛行,如本案例中的小马激活木马同时具有激活office,Windows系统等功能。此外,木马推广具有一定的周期性,一般都是在周末进行。
(图18:小马激活工具)
2) 自保护措施
a) 对抗杀软
为了躲避杀毒软件的查杀,小马激活木马会遍历进程,若有主流杀软在运行则要求用户退出杀软。成功释放驱动模块并运行后,会阻止杀毒软件加载驱动,破坏其查杀功能以防止被查杀。
b) 反调试
小马激活木马释放的木马程序C302.tmp加了VMP壳,大大增加了分析难度,调用IsDebuggerPresent判断是否处于调试环境中,若是则提示并退出。
(图19:木马反调试)
(图20:木马反调试)
c) 隐藏注册表和文件
为了提高木马的生存能力,增加了文件保护及注册表保护功能,通过挂钩文件系统驱动FSD实现文件过滤,使其自身不会被显示,访问及删除,相关注册表也无法被访问。
d) 频繁更换变种
为了躲避查杀,变种更新极快,在追踪到的某网盘上每天都会定时跟新72个新变种,相当于每20分钟就会有一个变种。
(图21:木马频繁更换变种)
3) 获利方式分析
a) 锁主页
小马激活工具oem10.exe模块通过设置注册表项值劫持主页锁定主页URL为https://360.ss588588.com,最终会跳转到114啦网址导航。另外其驱动模块通过注册CreateProcess回调,给浏览器进程添加命令行的方式实现主页劫持,锁定主页URL为https://360.114la6.com
(图22:木马劫持主页)
b) 恶意推广
小马激活工具释放的木马程序C302.tmp,还通过推广U盘装系统,系统下载等在内的11种推广链接获利。
0x4 顽固木马安全形势展望
1. 2018年Bootkit,Rootkit等复杂木马的对抗形势依然严峻,与安全软件的对抗将变得更加有针对性。2017年对电脑管家等主流安全软件作针对性绕过的Rootkit越来越多,这些针对性的绕过包括阻止对特定文件、注册表的访问,篡改文件校验返回值等。
2. 云控思想越来越普及,木马与正常软件的边界日趋模糊化。过去的一年里,越来越多的木马倾向于内嵌lua脚本解释器,通过下发lua脚本执行相应的恶意行为,并且长期处于潜伏状态,充当一个下载者的角色。
3. 锁主页、恶意推广、网络攻击等仍然是木马最重要的变现手段。此外,随着各种数字加密货币的崛起,通过挖矿获利或将越来越普遍。
4. 下载站下载器、搜索引擎竞价推广、热搜话题资源捆绑等仍将是木马推广传播的重要手段。
0x5 安全建议
1. 普通用户及时更新安装补丁,防止各种类型漏洞攻击。
2. 第三方渠道的高速下载器,盗版软件等可能捆绑木马,建议下载软件时到正规的官方网站下载,使用正版软件。
3. 不要打开陌生的网页链接,文档等,另外到正规渠道下载影视等热搜资源。
4. 养成良好上网习惯,保持腾讯电脑管家等安全软件的正常运行。