搜索
查看: 4262|回复: 78
收起左侧

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

  [复制链接]
lifan88
发表于 2019-7-11 03:53:40 | 显示全部楼层 |阅读模式
本帖最后由 lifan88 于 2019-7-11 23:54 编辑

补充一个5年前进阶手段揪出这类ROOTKIT/BOOTKIT的技术记录贴(@Backstreetboy )详见:https://bbs.kafan.cn/thread-1716273-1-1.html(主题:可怕的TDSS Rootkit病毒

1,前言:在你们仅仅只是下载样本进行扫描时,这个SYS早就一万个杀软报毒了,当然是没有加载的条件下所以,扫描玩玩也行,实机测试需谨慎,该驱动可以在WIN8-64/WIN10-64直接用个驱动测试软件就可以随便加载!


2,正文:终于有一天实机被潜伏了,事实证明现在比较厉害的ROOTKIT,是以你发现不了为主要目标,给你安上这个ROOTKIT有的是办法,甚至可以用心理战。。。只要你发现不了加载后的ROOTKIT(无论免不免杀,保护做好一些基本没问题,我自己被潜伏这么久这个是PCHUNTER在文件层面上也不能真正地抓出加载驱动后的真身,就更不能指望用于消灭大众化VIRUS的杀软),ROOTKIT稳定不出BUG,入侵者不做出触发警惕的作死操作,你甚至不会拿出PCHUNTER和TDSSKILLER去检查,只要这样他就成功了!


再之后大家可以思考和讨论一个问题:保护和免杀,孰轻孰重?如何防范心理层面上的“免杀”?

心理层面上的“免杀”有一个非常经典的例子:我说我这个ROOTKIT的驱动是为了Bypass某游戏的外{过}{滤}挂监测,报毒是正常现象,你用还是不用?


3,经历:前天老友来我家happy,老友的Laptop是WIN10-X64,TX管家为安软。他提到流氓软件有点多,断网的条件下,
一查看见了***zip/****zip:
记得以前这东西有驱动来搞一手,所以心血来潮用最新的PChunter-V1.56看看有什么东西。。。
一开始查看进程System的线程,加载的驱动,内核部分看异常,也没有某ZIP的SYS,但是检查钩子的时候发现partmgr项全部标红,我感觉这种全部标红的也太暴力了,于是怀疑老友机子有Rootkit,然后新版本TDSSKILLER上去扫一下,发现两个威胁,一个是没有签名认证的校园网,另外一个是Forged文件:MTMzYz.sys,看起来应该是随机名字,PChunter也没看到这个东西加载在哪,在所有的内核项都没看见这个诡异的SYS,然后去找了一下TDSSKILLER的日志,搜索MTMzYz的名字,发现这个东西就直接在System32下站着,挖出来一看,文件没有隐藏,创建时间2019-6-22,修改时间是2012年的,大小(2.4M)和占用空间(100+K)也是不一样的,然后挂的东西全部是partmgr.sys的内容,占用空间,签名,证书。

最后一试,复制粘贴到桌面,然后他送了个真的partmgr.sys给我,也就是说,把假的文件的替身拿出来了,压缩到压缩包也是,压缩个替身给我。(都是100K的那个),现在就可以非常确定是毒了,最后到PChunter已加载驱动一查,好家伙,和Rovnix一样,出现了二重存在的partmgr.sys,整个System里一堆partmgr.sys的线程。。。对象劫持也表示这个partmgr有问题,但是就是看不到那个MTMzYz.sys,尝试用pchunter的dump驱动,被识破,dump个100+K驱动给我,然后用pchunter的文件功能复制,被识破,又把替身拿出来了。

OK,管家扫描,扫不出来,加载后的东西基本就碰不了了,最后查了卡饭,2018年就有这种劫持伪装成partmgr的Rootkit了,但是360急救箱也只能第一步破掉ROOTKIT的注册表保护部分,直接删了注册表(实际上断网条件下没能正确识别文件主体,当时慌得一笔,怕是没真穿透注册表保护把真的partmgr的注册表项给灭了),重启之后检查内核,加载的驱动和partmgr钩子/对象劫持,发现全部恢复正常,System中的线程正常也是没有一堆
partmgr.sys的,再到System32下看那个MTMzYz.sys,真正的内容就出来了,管家就能扫出来。
ROOTKIT存活时间:2019-6-22至2019-7-9,17天。。。


你们以为结束了吗?不这才刚刚开始!
然后我开始问老友这个东西创建那些天的日期干了什么(不知道创建时间可否造假),老友给出了两个可以目标,一个是KMS,一个是极品飞车:

然后我测试之后排除了极品飞车,因为我发现我机子的partmgr内核钩子也是全部挂红的。。。。同样方法干掉ROOTKIT后,火绒才能正确识别出SYS是一个ROOTKIT.Startpage。。。把极品飞车的安装包到主程序都翻了个遍,火绒都没有都没有报警,然后看到了我那个驱动的时间。。。创建2019年1月17日,一开始以为创建时间可能是编的,然后我发现我的一个KMS也是1月17日,然后一想,当时为了游戏不卡机子恢复了出厂设置,系统和MSoffice需要重新激活,结果,就中招了不对,再次确认了之后才发现是1月17日的激活系统的KMS是被我在虚拟机中用Malware Defender解了捆绑的,那就追溯到了2018年4月13日的OFFICE的激活KMS,一看和老友给我的体积差不多,完蛋了。。。


心理战大法好,本着360沙盘跑那个OFFICE的激活KMS没问题,结果就信以为真关了360,结果捆绑个ROOTKIT,驱动一加载,GG,加载后几乎所有东西都不能正确读出这个随机名字驱动的真实信息。。。。然后,估算了这个ROOTKIT的存活时间。。。

从2018-4-13(看了一下日志发现360没有发现,有可能是免杀,有可能是被社工安利关闭360了,从2019年1-17日开始后可以确定是火绒和360组合,但是都没有发现这个潜伏驱动的存在)可以说一直存活到了2019-7-9,然后这个Rootkit的存活时间:451天,恭喜这个B(我应该找发现的,一个ROOTKIT活这么久肯定会有不稳定的时候,在19年2月份到5月份做实验期间经常闪屏死机)



第二部分是免杀部分,用的最简单的方法:7z压缩包加密码,和论坛一样。
通过MD的分步可以发现(请把重点放在命令行上):
2019/7/11 03:03:55    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
命令行: "C:\Users\j8qq_000\Desktop\(OFFICE激活)kms-bf.exe"
规则: [应用程序]c:\windows\explorer.exe



2019/7/11 03:04:04    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsProcess.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:05    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\System.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:07    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\7z.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe


2019/7/11 03:04:07    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\7z.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:09    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\Base64.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:10    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsExec.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:31    创建新进程    允许------压缩密码为aabbccdd,将包内文件重命名为YTY3OT.SYS
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns20ff.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns20FF.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "YTY3OT.sys"
规则: [应用程序]*



2019/7/11 03:04:35    创建新进程    允许
进程: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns20ff.tmp
目标: c:\users\j8qq_000\appdata\local\temp\7z.exe
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "YTY3OT.sys"
规则: [应用程序]*



2019/7/11 03:04:38    创建新进程    允许--------压缩密码为aabbccdd,将YTY3OT.SYS解压到System32目录下
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns84ea.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns84EA.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" -o"C:\Windows\system32\"
规则: [应用程序]*



2019/7/11 03:04:41    创建新进程    允许
进程: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns84ea.tmp
目标: c:\users\j8qq_000\appdata\local\temp\7z.exe
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" -o"C:\Windows\system32\"
规则: [应用程序]*



2019/7/11 03:05:02    创建文件    允许
进程: c:\users\j8qq_000\appdata\local\temp\7z.exe
目标: C:\Windows\system32\YTY3OT.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys



2019/7/11 03:05:17    读文件 (2)    允许
进程: c:\users\j8qq_000\appdata\local\temp\7z.exe
目标: C:\Windows\System32\YTY3OT.sys
规则: [应用程序]* -> [文件]*; *.sys

2019/7/11 03:05:20    创建文件    允许

进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsSCM.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:05:21    安装驱动程序或服务    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Windows\system32\YTY3OT.sys
规则: [应用程序]*



2019/7/11 03:05:23    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



2019/7/11 03:05:24    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT\Start
值: 0x00000001(1)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start



2019/7/11 03:05:24    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT\ImagePath
值: \??\C:\Windows\system32\YTY3OT.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath



2019/7/11 03:05:27    加载驱动程序    阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\yty3ot.sys
规则: [应用程序]c:\windows\system32\services.exe



2019/7/11 03:05:40    创建新进程    阻止并结束进程
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns4e46.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns4E46.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -aoa -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play14.dat" -o"C:\Users\j8qq_000\AppData\Local\Temp"
规则: [应用程序]*



用了这个套路之后,你扫描的时候是不能发现这个KMS里面藏的驱动究竟有没有毒


告诫大家,千万不要小看这类ROOTKIT,轻则BUG/冲突导致宕机,重则数据泄露!




提取驱动样本:
链接: https://pan.baidu.com/s/1yCWpUQJidYyyH_iCq0WI8w 提取码: vyga 密码:virus
(PS:驱动可以直接加载,加载后PCHUNTER看不见真实加载驱动,你能看到的是最后加载驱动变成了fltmgr.sys,而不是病毒驱动,手杀方法:进安全模式把驱动删了就行,有没有老哥试试正常情况下用ark手杀掉?这个东西的特征我最早见到的是TDSSKILLER开始扫描上面的文字说明上的一个ROOTKIT-----ROOTKIT.Reloader.A,等我找样本)

捆绑ROOTKIT的KMS:
链接:链接: https://pan.baidu.com/s/1OpYwH8A3G4jqmg3eScyz5w 提取码: ysmm 密码:virus

欢迎大家讨论!



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 10经验 +10 魅力 +1 人气 +16 收起 理由
windows7爱好者 + 1 版区有你更精彩: )
Kaspersky用户 + 3 版区有你更精彩: )
hr157 + 1 赞一个!
左手 + 1 加分鼓励
Jirehlov1234 + 1

查看全部评分

wowocock
发表于 2019-7-11 10:38:59 | 显示全部楼层
很老的木马了,360急救箱扫描轻松处理。这种ROOTKLIT技术,在最新流行的主页保安类保护技术面前如同小儿科。后者更是吊打除360急救箱外的所有杀软。包括卡巴。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 赞一个!

查看全部评分

温馨小屋
发表于 2019-7-11 12:27:20 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-11 12:43 编辑

BD两个驱动都杀,但两个exe miss,双击exe释放的驱动被监控杀掉

稍后测试带毒清除
可预见的凉凉

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢TEST: )

查看全部评分

温馨小屋
发表于 2019-7-11 13:02:18 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-11 14:20 编辑

卡巴关闭保护后运行病毒

重启成功加载病毒驱动,partmgr全红



卡巴运行快速扫描,在这个病毒驱动上卡了一两分钟



扫描完成后提示清除



在选择不重新启动的情况下卡巴依然删掉了驱动



重启劫持项消失



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
Picca + 1 版区有你更精彩: )
lifan88 + 1 哇,卡巴有点东西啊

查看全部评分

www-tekeze
发表于 2019-7-11 13:30:40 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-11 13:32 编辑
www-tekeze 发表于 2019-7-11 12:57
退出绒智双击,会在C:%users\.....\AppData\Local\Temp下释放文件,当中的KMSpico1才是真正的暴风激活V17 ...

退出绒智运行激活工具,重启后智量快扫只发现一个释放的uninst.exe,火绒无发现,说明黑驱动劫持后已被隐藏!但用火绒专杀发现三项风险,处理后重启,绒智两者都发现了黑驱动YWZiNW.sys 。
处理后再次重启,用绒智以及火绒专杀扫描,没发现任何问题,相信已完美解决!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢测试

查看全部评分

欧阳宣
发表于 2019-7-11 08:47:30 | 显示全部楼层
cylance

kill all
杀软病综合医院
发表于 2019-7-11 08:48:30 | 显示全部楼层
吓得我赶紧用360查一下
BE_HC
发表于 2019-7-11 08:52:33 | 显示全部楼层
本帖最后由 BE_HC 于 2019-7-11 12:57 编辑

CCAV
在沙盒里面跑了半天VS才弹出来




这个驱动跟LZ发的都不一样,而且火绒不报毒

蓝奏:https://www.lanzous.com/i4xjqah

MD5 : 520D0EDF6188C9A81AF0F981B6A0BB70





试着用NPE测试。。
结果虚拟机开一半都就蓝屏惹



用API看了下

kernel32.dll    RtlInitAnsiStringEx ( 0x0012f7dc, ""C:\Users\ADMINI~1\AppData\Local\Temp\nsz29DE.tmp\ns2AD9.tmp" "C:\Users\ADMINI~1\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\ADMINI~1\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "M2Y4Nz.sys"" )   





飞塔沙盒结果
从飞塔沙盒里面提取的驱动跟新的是一样的







虽然飞塔直接运行那个KMS之后产生的rookit会扫描杀
沙盒测不出来





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
windows7爱好者 + 2 版区有你更精彩: )

查看全部评分

桑德尔
发表于 2019-7-11 09:00:12 | 显示全部楼层
eset Miss
kaba666
发表于 2019-7-11 09:07:31 | 显示全部楼层
本帖最后由 kaba666 于 2019-7-11 09:30 编辑

卡巴全灭,一个云杀,双击一个PDM,和云混合杀,小样~~,应外两个驱动,也杀!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jerry.Lin
发表于 2019-7-11 09:19:47 | 显示全部楼层
本帖最后由 Jerry.Lin 于 2019-7-11 09:32 编辑

有 secure boot 或者驱动强制签名 会好很多……



火绒
剩余1个exe
  1. 病毒库时间:2019-07-10 18:27
  2. 开始时间:2019-07-11 09:17
  3. 总计用时:00:00:00
  4. 扫描对象:2
  5. 扫描文件:2
  6. 发现风险:2
  7. 已处理风险:0

  8. 病毒详情


  9. 风险路径:C:\Users\zhong.000\Downloads\Compressed\卡饭\两个貌似是同一个驱动(1)\新的rootkit2019-6-22.sys, 病毒名:Rootkit/StartPage.f, 病毒ID:fad37121e1dbdb75, 处理结果:暂不处理
  10. 风险路径:C:\Users\zhong.000\Downloads\Compressed\卡饭\两个貌似是同一个驱动(1)\老的rootkit2019-1-17.sys, 病毒名:Rootkit/StartPage.f, 病毒ID:fad37121e1dbdb75, 处理结果:暂不处理
复制代码
  1. 病毒库时间:2019-07-10 18:27
  2. 开始时间:2019-07-11 09:18
  3. 总计用时:00:00:03
  4. 扫描对象:50
  5. 扫描文件:2
  6. 发现风险:1
  7. 已处理风险:0

  8. 病毒详情


  9. 风险路径:C:\Users\zhong.000\Downloads\Compressed\卡饭\KMSX2\暴风激活V17.0-2019-6-22版本.exe >> [NSIS].nsi, 病毒名:TrojanDropper/FakeKMS.c, 病毒ID:3e6298cf38e1c723, 处理结果:暂不处理
复制代码


Jirehlov1234
发表于 2019-7-11 09:35:19 | 显示全部楼层
VIPRE

Trojan.GenericKD.30868919 - 新的rootkit2019-6-22.sys
Trojan.GenericKD.41222116 - 老的rootkit2019-1-17.sys
ELOHIM
发表于 2019-7-11 09:48:04 | 显示全部楼层
哪位大佬劳烦分流个蓝奏。
a233
发表于 2019-7-11 09:49:20 | 显示全部楼层
Avast



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-7-20 11:41 , Processed in 3.583351 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表