查看: 2999|回复: 10
收起左侧

[交流探讨] 又用虚拟机试了暗云木马的样本……

[复制链接]
fakeviolation
发表于 2017-7-1 23:24:50 | 显示全部楼层 |阅读模式
本帖最后由 fakeviolation 于 2017-7-1 23:58 编辑

首先,我是直接把扇区写进磁盘的,模拟的是感染后的情况,并不是测试是否能阻止感染按照腾讯的分析,这个木马多通过流氓下载器、私-Fu等传播,我用一个下载器试了,可能是检测了虚拟机,没重现出来,就不写了。

样本的前63扇区传了VirusTotal:
https://www.virustotal.com/en/fi ... nalysis/1498918736/
可以看到,卡巴能从保存的扇区文件中检出Trojan.Boot.DarkGalaxy.a
在虚拟机外抓包,也可以看到确实在查询ms.maimai666.com的DNS记录。不过现在查询好像总是返回Server failed,所以没能重现出木马连上云控服务器的情况。

虚拟机是VMware Workstation,装的是没打补丁是Win7 x64 SP1。

尝试用KIS 17.0.0.611(e)(已更到最新)和TDSSKiller(3.1.0.15,勾选Loaded Modules并重启)扫描,都没能扫描到木马
QQ截图20170701224115.png
不过,看卡巴官网的描述,TDSSKiller好像本来就没支持暗云的查杀

(一开始逗比了,把IP地址填到本地IP栏中,而且没有禁用DNS over TCP和DNS over UDP两个默认规则,当然都被放行了……下面是重做的结果)
设置KIS的防火墙,尝试阻止木马查询DNS。观察到木马会尝试8.8.8.8和208.67.222.222两IP地址,分别屏蔽其中的一个:

QQ截图20170701234932.png
QQ截图20170701234558.png QQ截图20170701235845.png
QQ截图20170701235824.png

通过对比,可以发现KIS的防火墙可以拦截“暗云”查询DNS的流量。木马在我的测试中没能成功连上云控服务器,与实际情况还有差别,比较遗憾。
不过目前的结果比较乐观,可以预期KIS能够检测到木马与服务器通信的流量。







ccboxes
发表于 2017-7-1 23:58:42 | 显示全部楼层
本帖最后由 ccboxes 于 2017-7-2 00:08 编辑

测这个有意义吗。。。。。。。结果是肯定的。Bootkit与Rootkit不同,需要PE下处理。对于手段完善的Bootkit,不用PE手杀也非常麻烦。也就是它没有设镜像劫持(现在好像因为动作太大不太流行了),不然你根本什么安软都打不开。

不过讲道理暗云这种玩意儿,先不说UEFI+GPT已经开始普及了,就算是BIOS+MBR不结合Exploit也完全是废物,主防稍微针对一下,一条规则秒全家。所以这东西也只能靠社工手段续命,不过还有人在开发这种东西真是说明了最薄弱的环节永远是人。

泰拉浩
发表于 2017-7-2 00:22:55 | 显示全部楼层
虽然看不太懂  但是感觉KIS还是很靠谱的
fakeviolation
 楼主| 发表于 2017-7-2 00:32:09 | 显示全部楼层
ccboxes 发表于 2017-7-1 23:58
测这个有意义吗。。。。。。。结果是肯定的。Bootkit与Rootkit不同,需要PE下处理。对于手段完善的Bootkit ...

用BOOTKIT确实有点开挂了……不过我想不到的是,暗云也没用太变态的手段访问网络,防火墙还是拦下了暗云的DNS。
fakeviolation
 楼主| 发表于 2017-7-2 00:33:24 | 显示全部楼层
ccboxes 发表于 2017-7-1 23:58
测这个有意义吗。。。。。。。结果是肯定的。Bootkit与Rootkit不同,需要PE下处理。对于手段完善的Bootkit ...

不知道实际中毒的用户是什么情况。
如果安软都有能力发现暗云产生的异常流量,那应该会大面积报警,让用户发觉自己中毒了才对……
ccboxes
发表于 2017-7-2 14:55:26 | 显示全部楼层
本帖最后由 ccboxes 于 2017-7-2 14:56 编辑
fakeviolation 发表于 2017-7-2 00:33
不知道实际中毒的用户是什么情况。
如果安软都有能力发现暗云产生的异常流量,那应该会大面积报警,让用 ...

我不是说过了么,社工啊。这种病毒一般都是隐藏在游戏外{过}{滤}挂等工具中,想要诱导用户关闭安软防护是很轻松的。

正常情况下,现在有主防的几大厂都没有失手的可能,改MBR实在太明显了。Bootkit修改MBR成功之前是完全没有威力的。
fakeviolation
 楼主| 发表于 2017-7-3 11:43:15 | 显示全部楼层
ccboxes 发表于 2017-7-2 14:55
我不是说过了么,社工啊。这种病毒一般都是隐藏在游戏外{过}{滤}挂等工具中,想要诱导用户关闭安软防护是 ...

我是说感染后,好像也没听说有大面积报毒的现象,可能国产杀软连异常网络请求都没及时检测到?或者,可能用户都不把这个当回事?

另外,卡巴也有杀Bootkit的能力,并没有放弃治疗,比如Rootkit.Boot.Cidox,应该和这个对的上号:
http://slab.qq.com/news/tech/1479.html
我有一个样本,实测卡巴是可以杀的。
我觉得不杀暗云应该是卡巴他们比较懒,没针对它搞一下……(也可能确实比较难杀吧)
ccboxes
发表于 2017-7-3 12:05:19 | 显示全部楼层
fakeviolation 发表于 2017-7-3 11:43
我是说感染后,好像也没听说有大面积报毒的现象,可能国产杀软连异常网络请求都没及时检测到?或者,可能 ...

你是不是混淆了什么?我说的是对抗活动Bootkit,并不是在Bootkit感染时查杀。
fakeviolation
 楼主| 发表于 2017-7-3 16:27:25 | 显示全部楼层
ccboxes 发表于 2017-7-3 12:05
你是不是混淆了什么?我说的是对抗活动Bootkit,并不是在Bootkit感染时查杀。

有啥好混淆的……

我一开始不就说了,没能重现流氓下载器给系统植入暗云的场景(无法测试卡巴能否阻止Bootkit被植入)。这个测试只是测试感染后卡巴能做什么(只能测试卡巴能否对抗活动Bootkit),然后结果是无法清除暗云这个MBR Bootkit。

然后……我本来以为暗云尝试连接云控时能无视卡巴的监视的,后来有点出乎我的意料,卡巴可以拦截暗云查询DNS的动作。
国内肯定是国产杀软占有率高,但我好像没看见有大面积反映报毒的。我觉得既然卡巴能拦,国产安软应该也不欠这个能力吧……说到这里,确实有点岔开主帖的话题了。
fakeviolation
 楼主| 发表于 2017-7-3 16:36:47 | 显示全部楼层
ccboxes 发表于 2017-7-3 12:05
你是不是混淆了什么?我说的是对抗活动Bootkit,并不是在Bootkit感染时查杀。

如果你问植入暗云的流氓下载器有没有被国内安软拦截……我也不是很清楚,因为我手里的样本好像检测虚拟机,没重现出植入Bootkit的情况。
FreeBuf有篇文章:http://www.freebuf.com/articles/system/136978.html,评论区里有人提到,国内的杀软似乎都没反应过来。
这篇文章提到的样本有Verisign的数字签名……凭借这个骗到安软的信任、绕过主防可能也不奇怪吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-22 15:54 , Processed in 0.112565 second(s), 8 queries , MemCache On.

快速回复 返回顶部 返回列表