查看: 1801|回复: 7
收起左侧

[分享] Zbot老木马换新装 能轻松绕过邮箱安全检测

[复制链接]
iFacebook
头像被屏蔽
发表于 2014-10-17 11:17:07 | 显示全部楼层 |阅读模式
本帖最后由 iFacebook 于 2014-10-17 11:39 编辑

最近工程师收到这样一封邮件,发件人显示为“Microsoft outlook”,附件貌似是个音频文件。但是把附件下载到本地一看,却是一个Zbot木马。
Zbot其实是一个很古老的木马了,它会将恶意代码注入到除CSRSS.EXE以外的所有进程。这些恶意代码会挂钩许多与网络操作相关的函数来监控网络数据,以达到盗取用户银行卡信息、电子邮箱密码等个人信息的目的。盗取到的信息会先存储在本地,随后发送到配置文件里所指定的地址。但这个变种还有些新意,用了一些伪装手段绕过了QQ邮箱的安全检测。下面是详细分析:
木马加载过程

第一层免杀:程序会先拷贝一段数组到内存中去作为shellcode来执行。


将这段内存数据扒出来,用IDA查看。

可见这段代码是被混淆过的,这些做法都是为了躲过杀软的特征查杀。
第二层免杀:接着段代码分配了一段内存将宿主程序拷贝进去,然后从文件的末尾往前搜索以B4E32392开头的数据并进行解密。

然后,shellcode调用VirtualAlloc重新分配一段空间(准备填充解压后的数据),再调用RtlDecompressBuffer将这段被解密的数据再解压到重新分配的空间中,这段解密后的数据就是zbot木马的文件数据。
以这样的方式得到木马文件就避免了释放文件的操作,躲避了杀软对木马文件的扫描。


第三层免杀:之后程序以挂起的方式创建新的进程(傀儡进程),并调用释放傀儡进程的内存映射,这样是为后边修改线程上下文做准备。

重新分配空间并设置属性为可执行,用来存放母体文件的内存映射。

分别写入文件头和各个区段。





再调用GetThreadContext获得线程上下文,修改傀儡进程的Eip,把Eip指向程序的入口,这是程序就跑到zbot木马的入口点。


最后调用SetThreadContext并恢复线程,木马程序开始跑起来。
木马就是通过这种方式,避免了直接加载母体进程,从而逃避了部分杀软的检测。
总结
主文件使用.NET编写的,作者通过在.NET程序里分配一段可执行内存空间,并拷贝一段被混淆的代码到此空间,然后加载;接着混淆代码又在文件中搜索被压缩过的一段数据进行解压得到母体文件;最后通过挂起新进程,修改线程上下文的方式触发母体文件。
简单来说,木马需要经过以下几部分才会运行:宿主文件混淆代码压缩数据母体文件挂起线程修改eip触发木马。
这个变种用了三层的保护技术,增加了杀毒软件检测的难度,好在360的QVM对这类样本有着比较全面的收集和训练,能够检出最新出现的变种。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +5 收起 理由
七宝 + 5 感谢支持,欢迎常来: )

查看全部评分

iFacebook
头像被屏蔽
 楼主| 发表于 2014-10-17 11:40:37 | 显示全部楼层
我自己顶一个。图片太多,好难编辑。
yzsts
发表于 2014-10-17 11:52:47 | 显示全部楼层
把样本也发下让大家多测试其他杀软
minjiaming
发表于 2014-10-17 12:39:08 | 显示全部楼层
没有样本
iFacebook
头像被屏蔽
 楼主| 发表于 2014-10-17 14:16:19 | 显示全部楼层
yzsts 发表于 2014-10-17 11:52
把样本也发下让大家多测试其他杀软

样本还是不发了。安全第一。
lvhaoran123
发表于 2014-10-17 15:30:47 | 显示全部楼层
敢问楼主又是哪个小号?MJ?
iFacebook
头像被屏蔽
 楼主| 发表于 2014-10-17 15:32:17 | 显示全部楼层
lvhaoran123 发表于 2014-10-17 15:30
敢问楼主又是哪个小号?MJ?

猜猜。看能猜到不
Flameocean
发表于 2014-10-17 17:33:49 | 显示全部楼层
lvhaoran123 发表于 2014-10-17 15:30
敢问楼主又是哪个小号?MJ?

MJ根本不削这种分析了,人家直接是抓系统内核和漏洞的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 15:23 , Processed in 0.181693 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表