查看: 1852|回复: 1
收起左侧

[技术原创] 吃鸡辅助远控木马分析

[复制链接]
360主动防御
发表于 2018-4-25 18:25:12 | 显示全部楼层 |阅读模式

近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后,黑客可以远程控制用户电脑,进行任意操作,并将中招电脑作为傀儡机,进行DDOS攻击,严重危害个人信息安全和网络秩序。

一、主要流程

带木马的荒野求生辅助以免费形式发布在布衣论坛中


图1

带木马的荒野求生辅助运行后界面如下


图2

该荒野求生辅助被用户下载运行后会释放运行两个木马文件:“过CRC检测.exe”和“防封插件.exe”。其中“防封插件.exe”,是一个远控木马,可以窃取用户电脑中的信息,下载执行任意文件。另外一个“过CRC检测.exe”,是一个DDOS木马,根据黑客指令进行定向攻击。


图3

二、防封插件.exe

防封插件.exe是一个加密木马的载体,该文件运行时会解密出具有远控功能的dll文件,并在内存中加载执行。

1.   解密dll木马

木马作者加密木马程序后,把加密数据作为全局变量存储在防封插件.exe程序的全局数据区。


图4

解密木马的功能位于防封插件.exe程序的异常处理里。由程序主动抛出整型异常,进入相应的异常处理函数,解出木马。


图5

解密后的木马是一个dll文件。


图6

2.   内存加载dll木马

防封插件.exe通过PELoader的方法,在内存中映射解密后的dll文件,并调用Dllmain执行。


图7

然后计算导出函数ForShare82的位置,调用导出函数。至此,木马本体已经完整加载到内存并运行。


图8

3.  Dll木马功能

Dll木马具有远控功能,控制服务器地址:27.126.188.68,端口:522。该程序包含键盘记录、下发文件、注册表控制、服务控制等功能。


图9

键盘记录功能:判断键盘输入的内容,然后格式化键盘信息,过滤特殊按键(SHITF、CTRL等),最后重组成完整的输入信息,写入文件。


图 10

截屏功能:获取分辨率信息,然后进行截屏操作。


图11

其他控制功能:


图12

三、过CRC检测.exe

过CRC检测.exe程序根据注册表项SYSTEM\CurrentControlSet\Services\.Net CLR是否存在,判断程序是否第一次运行,首次运行会执行不同流程。


图13

1.  首次运行的执行流程

将自身以随机文件名拷贝到windows目录下


图14

将拷贝后的文件注册为自动启动的服务,服务名.Net CLR。


图15

修改服务描述信息为:Microsoft .NET COM+ Integration with SOAP以进一步迷惑用户。


图16

写注册表项SYSTEM\CurrentControlSet\Services\.Net CLR。


图17

删除原始木马文件。


图18

2.  .Net CLR服务程序执行流程

由于首次运行时注册了服务,所以样本作为服务二次启动的时候就会进入另一个流程。

1)   创建互斥体“.Net CLR”


图19

2) 释放hra33.dll(这是一个lpk劫持dll),紧接着便更新dll的资源,然后加载dll。


图20

hra33.dll被加载之后,DllMain中立即运行恶意行为,遍历用户磁盘文件,每当发现一个exe文件时,便将自身拷贝到exe文件目录下,并将自身重命名为lpk.dll。


图21

3)    创建局域网传播线程,尝试弱口令连接局域网内的用户,将自身拷贝到本地磁盘和局域网共享目录的C、D、E、F盘下并重命名为g1fd.exe,其中成功拷贝至C、D、E盘时,会以计划任务的方式直接启动。


图22

局域网传播中用到的部分用户名和弱口令


图23

4)    创建三个远控线程。三个线程的控制功能是一致的,但连接的服务器不同,此外前2个线程会验证系统时间,当时间大于2013/2/21才会创建控制线程。


图24

远控线程1的连接,实测是无效连接。


图25

远控线程2的远程连接c&c 地址(z*******g.bid)端口是20199


图26

远控线程3的连接,服务器地址是加密的,解密后是27.126.188.68:520


图27

5)  远控线程的主要功能

下载执行任意文件


图28

DDOS攻击


图29

使用远程命令行参数启动IE


图30

更新木马文件


图31

卸载自身


图32

四、溯源

通过对恶意样本的分析,找到了域名z*******g.bid,通过域名反查定位到域名相关的注册邮箱和联系电话。


图33

通过邮箱和手机定位到相关信息如下


图34

五、木马的查杀

如果发现来历不明的文件,通过360安全卫士进行查杀,360杀毒已经针对该远控木马支持查杀,请广大用户在使用安装包及时扫描查杀,避免使用未知来源的可疑软件。



ELOHIM
发表于 2018-4-25 22:56:22 | 显示全部楼层
拜托能否把图片地址加密。。
或者费个事,每图单独上传为卡饭附件。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:07 , Processed in 0.141475 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表