对ZeroAccess作者使用工具的研究

275751198

看到这篇文章后，我是特别支持原帖主的努力，要是光转发样本那就太对不起原帖主的辛苦了。致敬 R136a1

对ZeroAccess作者使用工具的研究

在这篇文章中，我将讨论各种不同的工具，我已经在过去的几个月里，我相信这一发现是同一个作者为ZeroAccess的恶意软件。也有可能是BOT的源代码是“拿下”2013人正在试图从中获利卖出后。这至少会如果我们考虑对ZeroAccess僵尸网络的最新版本的行为（V3），看起来像是只设置为测试目的。

收集的样本主要测试工具，但由于一些独特的编码特点ZeroAccess作者。首先，作者_heavily_依赖于本地系统的功能而非高级API函数在用户模式应用程序。其次，作者仅用ZW *功能前缀和没有NT *前缀。这两个特点的结合大大缩小仅可能的候选人在示例数据库现在。此外，一些工具利用shellcode和作者解决字符串地址的独特技术。此外，我们发现与PDB路径字符串和其他字符串之间的重叠部分样品的工具。最后，其中含有许多其他嵌入式文件存储一直在rcdata段的工具。
非常感谢ep_x0ff在技术部分的帮助。

UAC的演示工具
去年十月，我偶然发现了一个小的工具，显然是为了宣传一个UAC旁路的方法。乍一看，这个方法看起来类似于一个由H1N1下载器在2015年初发布的应用。另外，编译时间戳日期20。2015八月表明工具可能是由作者创造的H1N1下载器。但仔细看看代码后，它并不是完全一样的技术。
（HINI下载器：http://www.arbornetworks.com/blo ... 15/06/blog_h1n1.pdf）
新的ZeroAccess僵尸网络被发现后（V3）在今年初也该BOT样本被发现可追溯到2014年十二月。经过实例分析，我们可以肯定地说，UAC的演示工具是基于ZeroAccess源代码或是由其作者编码。代码和有效加载的DLL是相同的，只是不同有效加载的编译时间戳。




但是，对于谁创建了这个演示工具？是在地下论坛或私人分享吗？前几天，我发现CryptoDefense可追溯到26号的一个变种。2015年十月根据编译的时间戳。此示例使用同样的方法来演示工具的广告，即使加载载DLL相同的编译时间戳。虽然，它可能是演示工具本身的创造者是这背后CryptoDefense变种人，这似乎不太可能。该恶意代码CryptoDefense是不同的，迄今为止没有任何ZeroAccess工具像它这般先进。

UAC demo tool:https://www.virustotal.com/en/fi ... e1b93aa07/analysis/
Cryptodefense variant:https://www.virustotal.com/en/fi ... 9474ec1a3/analysis/

自定义的LPE漏洞利用（cve-2015-1701）
这是一个测试工具，它利用win32k.sys内核驱动程序称为cve-2015-1701来获得系统权限的漏洞。也许，作者的灵感来自于ep_x0ff的逆向工程开放源代码。我们可以看到典型的ZeroAccess的方式通过注册向量异常处理程序和在一个特定的功能设置硬件断点改变执行流程。当这个函数被调用时，异常处理程序将继续执行并继续执行。在这情况下利用一个硬件断点设置在kiuserexceptiondispatcher后来通过CreateWindowEx函数内部调用。



Custom LPE exploit (CVE-2015-1701):https://www.virustotal.com/en/fi ... a63b3db8d/analysis/

ZeroAccess的测试种植器
这是加密的PNG Dropper用来传播ZeroAccess v3的一个早期版本。这些早期的Dropper的最终版本的区别在于它不使用XOR加密文件里面只有一个测试DLL，冒充合法的Windows文件mshtmlmedia.dll。测试DLL使用相同的方法作为最终ZeroAccess V3恶意负载本身作为合法的Windows文件comres.dll并调用它的切入点。



注入测试工具
这是一个跨平台（x86/x64）注入测试工具实现x86可执行文件。它有两个DLL的rcdata存储区域内，每一个平台。相应的DLL被注入notepad.exe过程必须开始之前。从x86过程在x64的Windows x64 DLL注入（WOW64）是通过所谓的天堂之门。注塑过程是通过混淆的API调用，地图部分为手动目标然后做装载机的工作。这种注射是一种更隐蔽的变种，由于注入的DLL没有出现在加载的库列表。



密码加密文件
这是一种自解压缩可执行的可执行文件，其中包含了在PE资源部分的加密内容，但没有任何压缩。当可执行程序启动后，出现一个对话框，输入一个密码。在内部，一个密码的MD5哈希值，得到了作为流密码被称为兔子的解密密钥。不幸的是，在文件里面的是什么仍然未知，除非你知道正确的密码。




DLL列表工具
这是一个非恶意工具以列出所有的进程和加载的DLL。我已经找到了2个样品，其中一个是自我签名的“max black”。再次，我们可以看到与ZW *前缀和类似的编码风格，ZeroAccess原生系统大量使用的恶意软件的功能。





样本 http://pan.baidu.com/s/1i3OWfHz  密码 infected

windows7爱好者

一共15个文件
GD杀13个.......
那么问题来了，哪个是ZA

xyz0703

卡巴killed 10x

rrorr

跳过UAC

轩夏

name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\dlllist_d377f9cf63a38e0e76bf77db0b578158e89f3685e862d66c5fd3371bb269e9a7", threat="a varia
nt of Generik.HRACNGZ trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\Document\3c3603780540890aa00c1a45e33974594a17199e56a62eb785314c6e1b93aa07", threat="VBA/Tr
ojanDownloader.Agent.AGC trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\Document\3c3603780540890aa00c1a45e33974594a17199e56a62eb785314c6e1b93aa07 » ZIP » word/vba
Project.bin", threat="VBA/TrojanDownloader.Agent.AGC trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\Downloaded payloads\021a9a2934f975804405bf2f6618163ebd4c08124dcfe700ce2cf716fccdf648", thr
eat="a variant of Win32/Kryptik.ECJQ trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\Downloaded payloads\299b298b433d1cc130f699e2b5c2d1cb3c7e5eb6dd8a5c494a8c5022eafa9223", thr
eat="a variant of Win32/Kryptik.ECJQ trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\Downloaded payloads\75bef8969561c5cb3889a38f4c963e916a0ae998e5ff8daad3cc3d803213a6bc", thr
eat="a variant of Win32/Kryptik.ECJQ trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\Downloaded payloads\dd64fb6df49a21bfc3f59ac25346beec05f1f9414de6584b4469a6085e7efdd2", thr
eat="a variant of Win32/Kryptik.ECJQ trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\UAC files\8f8f797332bff9253b0c542c8385af0835e0f4b52ba55462244af36f2b4b63e1", threat="a var
iant of Generik.KZOEPIO trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\UAC files\a3ca5ad0a10ad588ff725a65865549a9aaa3a7f1d7c3d0976dd620d54d59dfda", threat="a var
iant of Generik.DFVWDVP trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\tool\ZeroAccess author tools\UAC files\ef003853df1a6dbef566c64eb3c36474452d6bd92345aa8ed2cfe63ed09413d5", threat="a var
iant of Generik.GKLENRG trojan", action="", info=""

275751198

windows7爱好者 发表于 2016-2-21 22:49
一共15个文件
GD杀13个.......
那么问题来了，哪个是ZA

都是ZA作者使用的hacktool，也是ZA的衍生物

BFAX

EES杀8漏7

绯色鎏金

275751198 发表于 2016-2-22 15:45
都是ZA作者使用的hacktool，也是ZA的衍生物

感谢转载分析文章，如能在标题注明转载就更好了。可避免一些不必要的误会。