火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击

火绒工程师

一、        概述
正在公测的火绒5.0新版初显威力，在用户的试用过程中，顺利完成了对一种常见黑客攻击的防御，不光及时感知、拦截了黑客攻击，还通过“火绒威胁情报系统”完整解析出整个攻击流程，进而实现对该种攻击的多重防御。
该事件中，用户的服务器数据库被攻击时，火绒5.0版的“应用加固”模块被触发，立刻拦截了黑客攻击。随后，“火绒威胁情报系统”收到相关威胁信息并展开分析，解析出该种攻击的全部流程。

【黑客攻击完整流程】：黑客通过攻击服务器中的数据库，入侵用户电脑，然后植入多个“后门病毒”，再通过“后门病毒”派发各种病毒模块，甚至还有可能使被感染的电脑，攻击其他电脑。
针对这种较为常见的黑客攻击行为，火绒5.0可实现多重防御。
1、黑客在攻击服务器数据库时，会触发火绒5.0【应用加固-数据库】防御功能。该功能可针对电脑及服务器上的各类程序进行加固，阻止黑客利用程序，实施下载病毒等恶意行为；

  

2、如果【应用加固】功能被关闭，导致黑客成功入侵电脑并下载后门病毒文件，一旦病毒文件开始运行，火绒5.0的【文件实时监控】就会及时拦截、查杀，使其无法运行作恶；
3、如果上述两个功能都关闭，这些“后门病毒”控制用户电脑，向外发起攻击时，火绒5.0的【僵尸网络防护】功能可有效拦截，阻止被黑客控制。

  

火绒5.0是火绒安全软件最新版，整体防御能力再次升级，增添、优化多项硬核功能（默认为开启，请不要随意关闭）。这些功能都是针对普通用户在日常使用中，经常遇到的安全威胁而研发，可以有效解决病毒、木马、流氓软件、恶意网站等诸多常见安全问题，让用户能够“安全、方便、自主、自由地使用自己的电脑”。
目前，火绒5.0公测版已经在官网上线，欢迎大家前往下载、体验。 https://www.huorong.cn/betaPage.html
此外，火绒4.0用户无需担心，最新版也可查杀该病毒。

二、        样本分析
近期，火绒通过5.0应用加固功能截获到一起病毒攻击事件，黑客会通过攻击SQL Server服务器的方式进行病毒传播，攻击成功后，数据库相关进程会执行恶意代码下载执行后门病毒。此次被传播的后门病毒为Gh0st后门病毒的变种，具体功能包括：终端数据收集，接收和执行控制命令、派发执行任意病毒模块等。

后门病毒启动流程
后门病毒外层为混淆器代码，混淆器逻辑较为简单，首先会解密原始PE镜像，之后调用原始PE镜像中的导出函数Shellex。被解密执行的原始镜像为Gh0st后门病毒变种，病毒运行后会将其注册为系统服务驻留用户电脑。相关代码，如下图所示：

混淆器

后门病毒代码执行后，首先会初始化字符串、获取运行所需API地址。相关代码，如下图所示：

初始化字符串、获取API地址

病毒会在不同的操作系统中执行不同的病毒逻辑。如果是Vista以上的系统， 则在命令行后添加Win7 参数，以当前用户权限重新启动程序。相关代码，如下图所示：

以当前用户权限重新启动

后门病毒部署
病毒运行后，会在Program Files目录下创建WinRAP文件夹，并会将自身拷贝为该目录下的随机名可执行文件，之后隐藏文件并将其注册为系统服务。相关代码，如下图所示：

病毒执行相关代码

添加感染信息注册表，方便之后的信息收集和控制。相关代码，如下图所示：

添加病毒注册表

病毒注册表

后门控制功能
收集计算机的软硬件信息，用于发送上线包。收集的信息具体如下：

收集的信息

检测软件运行信息，如下图所示：

检测软件名称

信息收集相关代码，如下图所示：

收集软硬件信息

将收集到的信息添加固定数据头HTTPWWW.NCBUG.COM，进行简单加密，发送到服务器，服务器域名为fjm187.f3322.org，端口号为1987。相关代码，如下图所示：

添加固定数据头

发送加密后的上线数据

接收服务器回传的数据后同样需要进行解密，解密后可以根据控制命令执行后门控制功能。相关代码，如下图所示：

解密执行控制命令

后门控制功能如下：

后门控制功能

相关代码，如下图所示：

后门功能

被释放病毒模块
后门病毒还会根据不同的操作系统，释放不同的病毒模块进行执行。通过检测是否存在vmtoolsd.exe进程，进行检测虚拟机。如果不是虚拟机，则检查操作系统的版本，如果是win8或者是windows server2012，则释放并运行名为cscrss.exe的后门病毒，否则释放运行cszrss.exe。相关代码，如下图所示：

释放文件

cscrss的恶意行为与之前的后门病毒基本相同，只是更改服务器域名和端口， 域名为etc.xmcxmr.com, 端口为2218。相关代码，如下图所示：

后门病毒cscrss

cszrss为另一个后门病毒，病毒逻辑与之前后门病毒相似，连接域名为backmuma.ddns.net，端口为81。相关代码，如下图所示：

后门病毒cszrss

在cszrss中带有“神农远控”相关字符串，并且利用神农远控生成的后门病毒与之前的所有后门程序都有一定的相似性，而神农远控由Gh0st后门代码改写，因此判断上述后门均是Gh0st后门的不同变种。
下载执行其他病毒模块
后门病毒会通过控制命令从C&C服务器派发执行其他病毒模块，以派发下的一个蠕虫病毒为例进行分析。派发到终端的蠕虫病毒名为notepad_protected.exe，该病毒会连接不同的域名和端口进行上线包的发送，接收指令，下载执行其他病毒模块。病毒连接的C&C服务器地址及端口信息，如下图所示：

C&C服务器地址及端口信息

相关代码，如下图所示：

后门连接不同域名

其中ddos.jqddos.in域名，通过搜索该域名网站的历史数据我们得知，该域名下网站，曾对外提供付费的DDoS攻击服务，该域名下网站几年前已被关停。相关信息，如下图所示：

ddos.jqddos.in域名下网站页面信息

病毒执行后会遍历磁盘目录释放lpk.dll文件，进行动态库劫持。lpk.dll装载后会从资源节释放文件并执行（释放文件与派发下来的病毒文件为同一文件），以此进行驻留和传播。相关代码，如下图所示：

释放lpk.dll

从资源节释放文件并执行

三．附录
样本hash:

小新爱打小怪兽

支持一个，话说360会在你装SQL的时候提示有黑客估计的漏洞，我也是无语了

kim545

看了心痒啊，等我哪天卡巴到期了，说不定就用火绒了

Chasen

支持一波, 从卡巴转回到火绒

wakin

火绒一直以来都在坚持走自己的路线，不错！加油火绒

www-tekeze

又有进步了，必须支持！

神算子

Chasen 发表于 2019-4-29 14:32
支持一波, 从卡巴转回到火绒

都装不就行了

Chasen

神算子 发表于 2019-4-29 23:15
都装不就行了

不行啊, 我做开发的. 卡巴会拦截svn, 卡ide等等

Miostartos

注意那个检测运行软件的图。
这个写病毒的是懂行的啊。

sdwhsea

火绒加油！！