【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

lifan88

补充一个5年前进阶手段揪出这类ROOTKIT/BOOTKIT的技术记录贴（@Backstreetboy ）详见：https://bbs.kafan.cn/thread-1716273-1-1.html（主题：可怕的TDSS Rootkit病毒）

1，前言：在你们仅仅只是下载样本进行扫描时，这个SYS早就一万个杀软报毒了，当然是没有加载的条件下所以，扫描玩玩也行，实机测试需谨慎，该驱动可以在WIN8-64/WIN10-64直接用个驱动测试软件就可以随便加载！


2，正文：终于有一天实机被潜伏了，事实证明现在比较厉害的ROOTKIT，是以你发现不了为主要目标，给你安上这个ROOTKIT有的是办法，甚至可以用心理战。。。只要你发现不了加载后的ROOTKIT（无论免不免杀，保护做好一些基本没问题，我自己被潜伏这么久这个是PCHUNTER在文件层面上也不能真正地抓出加载驱动后的真身，就更不能指望用于消灭大众化VIRUS的杀软），ROOTKIT稳定不出BUG，入侵者不做出触发警惕的作死操作，你甚至不会拿出PCHUNTER和TDSSKILLER去检查，只要这样他就成功了！


再之后大家可以思考和讨论一个问题：保护和免杀，孰轻孰重？如何防范心理层面上的“免杀”？

心理层面上的“免杀”有一个非常经典的例子：我说我这个ROOTKIT的驱动是为了Bypass某游戏的外{过}{滤}挂监测，报毒是正常现象，你用还是不用？


3，经历：前天老友来我家happy，老友的Laptop是WIN10-X64，TX管家为安软。他提到流氓软件有点多，断网的条件下，
一查看见了***zip/****zip：
记得以前这东西有驱动来搞一手，所以心血来潮用最新的PChunter-V1.56看看有什么东西。。。
一开始查看进程System的线程，加载的驱动，内核部分看异常，也没有某ZIP的SYS，但是检查钩子的时候发现partmgr项全部标红，我感觉这种全部标红的也太暴力了，于是怀疑老友机子有Rootkit，然后新版本TDSSKILLER上去扫一下，发现两个威胁，一个是没有签名认证的校园网，另外一个是Forged文件：MTMzYz.sys，看起来应该是随机名字，PChunter也没看到这个东西加载在哪，在所有的内核项都没看见这个诡异的SYS，然后去找了一下TDSSKILLER的日志，搜索MTMzYz的名字，发现这个东西就直接在System32下站着，挖出来一看，文件没有隐藏，创建时间2019-6-22，修改时间是2012年的，大小（2.4M）和占用空间（100+K）也是不一样的，然后挂的东西全部是partmgr.sys的内容，占用空间，签名，证书。

最后一试，复制粘贴到桌面，然后他送了个真的partmgr.sys给我，也就是说，把假的文件的替身拿出来了，压缩到压缩包也是，压缩个替身给我。（都是100K的那个），现在就可以非常确定是毒了，最后到PChunter已加载驱动一查，好家伙，和Rovnix一样，出现了二重存在的partmgr.sys，整个System里一堆partmgr.sys的线程。。。对象劫持也表示这个partmgr有问题，但是就是看不到那个MTMzYz.sys，尝试用pchunter的dump驱动，被识破，dump个100+K驱动给我，然后用pchunter的文件功能复制，被识破，又把替身拿出来了。

OK，管家扫描，扫不出来，加载后的东西基本就碰不了了，最后查了卡饭，2018年就有这种劫持伪装成partmgr的Rootkit了，但是360急救箱也只能第一步破掉ROOTKIT的注册表保护部分，直接删了注册表（实际上断网条件下没能正确识别文件主体，当时慌得一笔，怕是没真穿透注册表保护把真的partmgr的注册表项给灭了），重启之后检查内核，加载的驱动和partmgr钩子/对象劫持，发现全部恢复正常，System中的线程正常也是没有一堆
partmgr.sys的，再到System32下看那个MTMzYz.sys，真正的内容就出来了，管家就能扫出来。
ROOTKIT存活时间：2019-6-22至2019-7-9，17天。。。


你们以为结束了吗？不这才刚刚开始！
然后我开始问老友这个东西创建那些天的日期干了什么（不知道创建时间可否造假），老友给出了两个可以目标，一个是KMS，一个是极品飞车：

然后我测试之后排除了极品飞车，因为我发现我机子的partmgr内核钩子也是全部挂红的。。。。同样方法干掉ROOTKIT后，火绒才能正确识别出SYS是一个ROOTKIT.Startpage。。。把极品飞车的安装包到主程序都翻了个遍，火绒都没有都没有报警，然后看到了我那个驱动的时间。。。创建2019年1月17日，一开始以为创建时间可能是编的，然后我发现我的一个KMS也是1月17日，然后一想，当时为了游戏不卡机子恢复了出厂设置，系统和MSoffice需要重新激活，结果，就中招了不对，再次确认了之后才发现是1月17日的激活系统的KMS是被我在虚拟机中用Malware Defender解了捆绑的，那就追溯到了2018年4月13日的OFFICE的激活KMS，一看和老友给我的体积差不多，完蛋了。。。


心理战大法好，本着360沙盘跑那个OFFICE的激活KMS没问题，结果就信以为真关了360，结果捆绑个ROOTKIT，驱动一加载，GG，加载后几乎所有东西都不能正确读取出这个随机名字驱动的真实信息。。。。然后，估算了这个ROOTKIT的存活时间。。。

从2018-4-13（看了一下日志发现360没有发现，有可能是免杀，有可能是被社工安利关闭360了，从2019年1-17日开始后可以确定是火绒和360组合，但是都没有发现这个潜伏驱动的存在）可以说一直存活到了2019-7-9，然后这个Rootkit的存活时间：451天，恭喜这个B（我应该找发现的，一个ROOTKIT活这么久肯定会有不稳定的时候，在19年2月份到5月份做实验期间经常闪屏死机）



第二部分是免杀部分，用的最简单的方法：7z压缩包加密码，和论坛一样。
通过MD的分步可以发现（请把重点放在命令行上）：
2019/7/11 03:03:55    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
命令行: "C:\Users\j8qq_000\Desktop\（OFFICE激活）kms-bf.exe"
规则: [应用程序]c:\windows\explorer.exe


2019/7/11 03:04:04    创建文件    允许
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsProcess.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2019/7/11 03:04:05    创建文件    允许
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\System.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2019/7/11 03:04:07    创建文件    允许
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\7z.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2019/7/11 03:04:07    创建文件    允许
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\7z.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2019/7/11 03:04:09    创建文件    允许
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\Base64.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2019/7/11 03:04:10    创建文件    允许
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsExec.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2019/7/11 03:04:31    创建新进程    允许------压缩密码为aabbccdd，将包内文件重命名为YTY3OT.SYS
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns20ff.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns20FF.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "YTY3OT.sys"
规则: [应用程序]*


2019/7/11 03:04:35    创建新进程    允许
进程: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns20ff.tmp
目标: c:\users\j8qq_000\appdata\local\temp\7z.exe
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "YTY3OT.sys"
规则: [应用程序]*


2019/7/11 03:04:38    创建新进程    允许--------压缩密码为aabbccdd，将YTY3OT.SYS解压到System32目录下
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns84ea.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns84EA.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" -o"C:\Windows\system32\"
规则: [应用程序]*


2019/7/11 03:04:41    创建新进程    允许
进程: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns84ea.tmp
目标: c:\users\j8qq_000\appdata\local\temp\7z.exe
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" -o"C:\Windows\system32\"
规则: [应用程序]*


2019/7/11 03:05:02    创建文件    允许
进程: c:\users\j8qq_000\appdata\local\temp\7z.exe
目标: C:\Windows\system32\YTY3OT.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys


2019/7/11 03:05:17    读文件 (2)    允许
进程: c:\users\j8qq_000\appdata\local\temp\7z.exe
目标: C:\Windows\System32\YTY3OT.sys
规则: [应用程序]* -> [文件]*; *.sys
2019/7/11 03:05:20    创建文件    允许

进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsSCM.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2019/7/11 03:05:21    安装驱动程序或服务    允许
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: C:\Windows\system32\YTY3OT.sys
规则: [应用程序]*


2019/7/11 03:05:23    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services


2019/7/11 03:05:24    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT\Start
值: 0x00000001(1)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start


2019/7/11 03:05:24    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT\ImagePath
值: \??\C:\Windows\system32\YTY3OT.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath


2019/7/11 03:05:27    加载驱动程序    阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\yty3ot.sys
规则: [应用程序]c:\windows\system32\services.exe


2019/7/11 03:05:40    创建新进程    阻止并结束进程
进程: c:\users\j8qq_000\desktop\（office激活）kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns4e46.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns4E46.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -aoa -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play14.dat" -o"C:\Users\j8qq_000\AppData\Local\Temp"
规则: [应用程序]*


用了这个套路之后，你扫描的时候是不能发现这个KMS里面藏的驱动究竟有没有毒


告诫大家，千万不要小看这类ROOTKIT，轻则BUG/冲突导致宕机，重则数据泄露！




提取驱动样本：
链接: https://pan.baidu.com/s/1yCWpUQJidYyyH_iCq0WI8w 提取码: vyga 密码：virus
(PS:驱动可以直接加载，加载后PCHUNTER看不见真实加载驱动，你能看到的是最后加载驱动变成了fltmgr.sys，而不是病毒驱动，手杀方法：进安全模式把驱动删了就行，有没有老哥试试正常情况下用ark手杀掉？这个东西的特征我最早见到的是TDSSKILLER开始扫描上面的文字说明上的一个ROOTKIT-----ROOTKIT.Reloader.A，等我找样本)

捆绑ROOTKIT的KMS：
链接：链接: https://pan.baidu.com/s/1OpYwH8A3G4jqmg3eScyz5w 提取码: ysmm 密码：virus

欢迎大家讨论!

wowocock

很老的木马了，360急救箱扫描轻松处理。这种ROOTKLIT技术，在最新流行的主页保安类保护技术面前如同小儿科。后者更是吊打除360急救箱外的所有杀软。包括卡巴。

温馨小屋

BD两个驱动都杀，但两个exe miss，双击exe释放的驱动被监控杀掉

稍后测试带毒清除
可预见的凉凉

温馨小屋

卡巴关闭保护后运行病毒

重启成功加载病毒驱动，partmgr全红



卡巴运行快速扫描，在这个病毒驱动上卡了一两分钟



扫描完成后提示清除



在选择不重新启动的情况下卡巴依然删掉了驱动



重启劫持项消失

www-tekeze

www-tekeze 发表于 2019-7-11 12:57
退出绒智双击，会在C:%users\.....\AppData\Local\Temp下释放文件，当中的KMSpico1才是真正的暴风激活V17 ...

退出绒智运行激活工具，重启后智量快扫只发现一个释放的uninst.exe，火绒无发现，说明黑驱动劫持后已被隐藏！但用火绒专杀发现三项风险，处理后重启，绒智两者都发现了黑驱动YWZiNW.sys 。
处理后再次重启，用绒智以及火绒专杀扫描，没发现任何问题，相信已完美解决！

AlphaRabbit

昨晚的测试结果：360 MalwareBytes 瑞星 金山 火绒 腾管 ESET，全部翻车（感染后无法检测到RTK的驱动文件，虚拟机配置：Windows 7 x64，扫描配置：直接点全盘扫描）。
Avast可以检测到这个Rootkit，但是，没有办法在系统运行时清除掉这个RTK。


（以下是私货）
似乎上面有人提到在感染这种顽固Rootkit时用急救箱，但是这里有个问题：就我见过的小白连PCHunter都不知道，他们首先要依赖的就是自己电脑里的反恶意软件。
在这里就出现了问题：如果他们手上的反恶意软件检测不到，那么他们还会继续用急救箱查吗？

windows7爱好者

虚拟机win7 x64环境
BD 2020 24.0.3.15版本
双击运行重启后中招

安装BD，更新后直接System Scan，最后就杀了个这玩意

我不死心，再次重启后quick scan



唉，BD啊BD，我记得前几年有个ROOTKIT，BD处理的还很好来着，现在怎么缩水这么严重了

windows7爱好者

静影沉璧 发表于 2019-7-19 23:31
上救援模式应该能搞定

NS选手准备上场

好的，我们知名的ns选手来了，老规矩，双击and重启，我手动开了主动启发式
在我运行liveupdate的时候，启发就杀掉了桌面上的两个EXE


然后运行扫描，发现了没卵用的cookie和一个temp下KMS释放的EXE，KMS卸载程序从隔离区放出来双击一次，被sonar杀掉


好吧，我没辙了，NPE！启动（重启了）
NPE扫描出TEMP目录里的一个不知名的玩意，估计仍然是主体释放的？同时还误报了我的Proxifier汉化安装程序...



最后云鉴定还显示是安全的....NS失败告终

windows7爱好者

awsMBR需要下载小A的引擎

快速扫描什么也没发现，尝试扫描整个C盘，但是......一到这个驱动就会报错退出，不过显示已经扫描过System32了，并没发现什么

windows7爱好者

我大EEK威武！！！
扫描配置：自定义C盘，勾选直接磁盘访问（快速和智能无法检测到）

成功隔离



扫描配置


没重启看了一下，两个Partmgr 已经显示文件不存在了，挂钩处显示获取信息失败



Oh My God...........



@lifan88
你说的那种情况出现了，EEK搞死了我本来的Partmgr
然后软斯林给了来一一波神乎其技的操作！，我的虚拟机没有关闭系统还原
微软直接给我还原到了我测试BD的时候
并且，Rootkit已经消失了（当时这会已经中招）
证明1：系统还原还是很有用的
证明2：EEK搞死了系统，也搞死了Rootkit

bbszy

win10 x64 v1803

分别测试mcafee livesafe 16.0R19、SEP14、小红伞pro、ZA Extreme

样本本身测试的杀软都已入库，故先安装杀软然后关闭监控、双击样本后重启，用PCH查看驱动被标红，感染成功，然后打开监控并扫描。咖啡、SEP和红伞除了激活本身的东西扫不出任何问题，红伞还特别设置了扫描所有文件类型、扫描前检测rootkit。ZA的话由于基本就是卡巴的驱动加引擎，所以结果和卡巴一样，顺利清除，就是这软件使用体验很差，没有卡巴的“在不重启的情况下尝试清除”，只能选高级清除，选了之后系统几乎动不了，等待清除完自动重启，用PCH看驱动正常，未见标红。

欧阳宣

cylance

kill all

杀软病综合医院

吓得我赶紧用360查一下

BE_HC

CCAV
在沙盒里面跑了半天VS才弹出来



这个驱动跟LZ发的都不一样，而且火绒不报毒

蓝奏：https://www.lanzous.com/i4xjqah

MD5 : 520D0EDF6188C9A81AF0F981B6A0BB70





试着用NPE测试。。
结果虚拟机开一半都就蓝屏惹



用API看了下

kernel32.dll    RtlInitAnsiStringEx ( 0x0012f7dc, ""C:\Users\ADMINI~1\AppData\Local\Temp\nsz29DE.tmp\ns2AD9.tmp" "C:\Users\ADMINI~1\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\ADMINI~1\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "M2Y4Nz.sys"" )   





飞塔沙盒结果
从飞塔沙盒里面提取的驱动跟新的是一样的







虽然飞塔直接运行那个KMS之后产生的rookit会扫描杀
沙盒测不出来

桑德尔

eset Miss

kaba666

卡巴全灭,一个云杀,双击一个PDM,和云混合杀，小样~~,应外两个驱动,也杀!

Jerry.Lin

有 secure boot 或者驱动强制签名 会好很多……



火绒
剩余1个exe

1. 病毒库时间：2019-07-10 18:27
   
2. 开始时间：2019-07-11 09:17
   
3. 总计用时：00:00:00
   
4. 扫描对象：2
   
5. 扫描文件：2
   
6. 发现风险：2
   
7. 已处理风险：0
   
8. 
   
9. 病毒详情
   
10. 
    
11. 
    
12. 风险路径：C:\Users\zhong.000\Downloads\Compressed\卡饭\两个貌似是同一个驱动(1)\新的rootkit2019-6-22.sys, 病毒名：Rootkit/StartPage.f, 病毒ID：fad37121e1dbdb75, 处理结果：暂不处理
    
13. 风险路径：C:\Users\zhong.000\Downloads\Compressed\卡饭\两个貌似是同一个驱动(1)\老的rootkit2019-1-17.sys, 病毒名：Rootkit/StartPage.f, 病毒ID：fad37121e1dbdb75, 处理结果：暂不处理
    

复制代码

1. 病毒库时间：2019-07-10 18:27
   
2. 开始时间：2019-07-11 09:18
   
3. 总计用时：00:00:03
   
4. 扫描对象：50
   
5. 扫描文件：2
   
6. 发现风险：1
   
7. 已处理风险：0
   
8. 
   
9. 病毒详情
   
10. 
    
11. 
    
12. 风险路径：C:\Users\zhong.000\Downloads\Compressed\卡饭\KMSX2\暴风激活V17.0-2019-6-22版本.exe >> [NSIS].nsi, 病毒名：TrojanDropper/FakeKMS.c, 病毒ID：3e6298cf38e1c723, 处理结果：暂不处理
    

复制代码

Jirehlov1234

VIPRE

Trojan.GenericKD.30868919 - 新的rootkit2019-6-22.sys
Trojan.GenericKD.41222116 - 老的rootkit2019-1-17.sys

ELOHIM

哪位大佬劳烦分流个蓝奏。

a233

Avast