盗版激活工具暗藏木马 中招可能被远程控制

2019-01-07 来源:原创 作者:腾讯电脑管家
【文章摘要】近期腾讯御见威胁情报中心监测到一个具有劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族,该木马捆绑在一些破解激活工具中传播。腾讯安全专家建议用户尽量使用正版软件,避免下载使用那些盗版破解激活工具,以免因此中招。

概述

近期腾讯御见威胁情报中心监测到一个具有劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族,该木马捆绑在一些破解激活工具中传播。腾讯安全专家建议用户尽量使用正版软件,避免下载使用那些盗版破解激活工具,以免因此中招。

木马首先会安装名为“VideoDriver”Rootkit病毒,并在每次开机时劫持浏览器跳转到广告页面,然后注入系统进程svchost.exe并下载刷量木马y2b.exe刷量youtube视频。通过腾讯高级威胁溯源系统进行溯源分析还发现了具有相同C2地址的Chrome搜索劫持木马,以及可以完全控制用户电脑,将中毒电脑变成肉鸡的大灰狼远程控制木马。


木马攻击流程


为躲避安全软件检测,木马伪造正常商业公司的信息申请合法数字签名,再次提醒安全厂商不要轻易信任数字签名。感染数据显示,该病毒近期活跃度上升,广东、上海、江苏、浙江等地的受害电脑较多。


样本分析

带病毒的激活工具运行后释放随机名驱动木马到C:\Windows\Temp目录下,伪装公司名为“VideoDriver”


木马盗用签名韵羽健康管理咨询(上海)有限公司,利用合法的数字签名来逃避查杀。

从网上公开信息可查得,该公司的经营范围为: “健康管理咨询,减肥服务,展览展示服务,包装服务,一类医疗器械、化妆品、美容美发用品、母婴用品、日用百货、办公用品的批发、零售”。

该公司经营范围并不包含软件开发、信息技术等领域,因此不会有签名系统被入侵的情况,推测此次很可能是木马作者通过伪造公司的信息,向签名颁发机构申请了证书。


木马安装的关机回调导致每次开机时通过浏览器打开广告页面hxxp://count.b12.fun/jump.php


驱动木马创建设备对象\\DosDevices\\VideoDriver,应用层木马可通过该对象打开驱动并与之通信。


枚举进程PID,并通过PID找到进程svchost.exe


KeStackAttachProcess进入到进程地址空间并执行shellcode


Shellcode执行后从服务器下载hxxp://dl.ossdown.fun/y2b.dat,保存为本地文件C:\Windows\Temp\y2b.exe,然后拉起运行。

y2b.exe

y2b.exe运行后上传机器信息到info.d3pk.com返回一个URL地址:

hxxps://www.youtube.com/watch?v=peJ2vpMiU-s


该地址为Youtube视频页面,继续分析可以发现该页面用于广告刷量(没明白,在中国传播Youtube刷量病毒是几个意思?)


检测是否安装chrome浏览器



获取到登录状态开始访问刷流量


刷量时还支持关闭自动播放


支持检测全屏广告或局部广告


还会通过控件MSScriptControl.ScriptControl执行刷量脚本代码

同源分析

通过通过腾讯安图高级威胁溯源系统分析y2b.exe的同源样本,还发现了通过安装chrome插件进行搜索劫持的木马样本,且该样本与“VideoDriver”使用的服务器域名具有较高相似度。


劫持跳转:http://count.b12.fun/jump.php

劫持搜索:http://www.ab12.fun/info/info.php?brwoser=

恶意Chrome插件

木马上传用户安装的浏览器信息

hxxp://www.ab12.fun/info/info.php?brwoser=


如果发现用户机器上存在chrome浏览器则在浏览器中安装恶意插件程序


在插件目录下,可以看到配置文件manifest.json,插件启动页面popup.html


Popup.html通过chrome.tabs.create来创建一个tab用来打开URLwww.15s0.com


访问该URL是一个不常见的搜索页面,并且输入任何内容进行搜索,都会返回搜索错误,推测可能被用来作为钓鱼网站或者利用页面传播木马。

远控木马

通过腾讯安图高级威胁溯源系统对C2地址ab12.fun进行扩散分析,发现通过该地址还曾用于传播大灰狼远控木马88.dll


木马程序为了方便远程的文件更新,把恶意代码加密后放在远程的服务器中,下载后需要在本地解密,然后装载到内存中执行。

首先通过CreateFile判断C:\Program Files\AppPatch\88.dll 是否存在


不存在则解密出服务器地址hxxp://www.ab12.fun/tool/88.dll,并下载88.dl


获得下载样本88.dll后会检测文件尾部数据“SSSSSSVID:2014-SV8

”进行校验。


然后通过内存加载PE执行,内存中装载的PE文件任然通过加UPX进行壳保护


内存加载后获取导出函数DllFuUpgradrs的地址调用,调用时传播2个参数:第一个为加密过的数据块,第二个为字符串“Cao360yni


字符串解密后得到上线配置信息,包括控制端IP地址154.48.232.234,端口8008,释放文件路径%ProgramFiles%\Microsoft Svoveu\.Dgzgpfj.exe,安装服务名、上线分组等信息。


从内存中dump出文件,并文件将脱壳后分析,得到一个DLL样本,该样本在导出函数DllFuUpgraders中进行服务安装


上线后连接C2地址154.48.232.234


构造GETPOST请求数据包,通过send发送数据包进行网络通信



通过接收到的不同命令字跳转执行远程功能


木马具有:包括查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,删除文件,清除系统记录,查看系统服务,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。


尝试结束网络监控进程zreboot.exezrupdate.exezrclient.exearpguard.exeIngress.exe


通过枚举注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall搜集软件安装信息


搜集浏览器收藏夹URL数据


枚举搜索文件

 


执行指定程序


键盘记录


设置SeShutdownPrivilege获得特权并关机。


通过以下步骤设置系统允许多个用户同时连接3389端口进行远程桌面:
(1)
对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

KeepRASConnections
设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server

fDenyTSConnections
设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing

EnableConcurrentSessions
设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters

serviceDll
设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(2)
用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(3)
复制c:\termsrvhack.dllc:\windows\system32\dllcache\termsrvhack.dll
(4)
复制c:\termsrvhack.dllc:\windows\system32\termsrvhack.dll


木马还具有中英文消息发送功能

安全建议

1、不要运行来历不明的程序,谨慎使用激活、破解工具。

2、关闭不常用的高危端口,如3389等。

3、保持杀毒软件实时开启,如果安全软件已经报警,这样的激活工具更不能再使用。

IOCs

域名

www.ab12.fun

b12.fun

count.b12.fun

info.d3pk.com

dl.ossdown.fun


IP

154.48.232.234

104.27.137.193

104.27.157.2


URL

hxxp://www.ab12.fun/tool/88.dll

hxxp://count.b12.fun/jump.php

hxxp://www.ab12.fun/info/info.php?brwoser=

hxxp://b12.fun/info.php

hxxp://dl.ossdown.fun/y2b.dat

hxxp://dl.ossdown.fun/g.dat


MD5

9e2233176e8dbfeb35dbe2ec56a6fa55

cd3b172832b5eb0d531a2aaf1bca71fc

b9da69c9b0428bd820f7a6a87f4c8f6d

01e5b2fcebc9a965ee39ec1373d3603d

ec8c214b58fa351b869ae3ffc8926f80

03403276ffa7e47f05ce80d67792ef5e

271728794b52c72b49df7a44d5f478ff

7a9e28a294a64047e63795c0d6856944

89b1a1a23650706119cde98a1da90eb1

5fbc027c528f7bbd8b510ce75aa8c353 

ca9130fa91f4c5b4e8fa10f5ecca87ea

044fa5fbf71fbe1c440259cb16a28c3f 

0607ff68c082bb47816ee4a6dea5013e

7a9e28a294a64047e63795c0d6856944

e9e22eb1a814a629bfe452f726fe9769

ebfda79fbfcd98dcbdd3db7952c932c5

电脑管家V13

权限雷达全新升级

详情>>

版本更新:2018.11.12