繼上個星期國內知名果粉社區威鋒網(上周事件一出,威鋒網已修復)遭黑客掛馬事件后,360安全衛士再度發現該黑客還在其他網站論壇進行掛馬。從3月開始,360互聯網安全中心檢測到該樣本的零星打點記錄,此情況從4月11日呈上升趨勢,多個論壇內大量帖子被插入Flash漏洞攻擊程序。因威鋒網是國內最大的蘋果用戶中文論壇,每天有百萬級瀏覽量,360安全衛士對威鋒掛馬攻擊的攔截量因此急劇增加。后續我們還在小七論壇以及游戲藏寶灣等論壇發現該樣本的蹤跡。
攻擊者主要通過在熱門帖子內回復并插入經過改造Hacking Team的Adobe Flash Player漏洞(CVE-2015-5122)攻擊的Flash元素,瀏覽帖子的用戶如果沒有及時更新Flash或安裝可靠的安全軟件,電腦會自動下載運行木馬程序,感染的木馬是PlugX系列遠控程序,在進入受害者系統后,它會連接位于香港的控制服務器,黑客可以由此完全控制、監視受害者電腦,竊取隱私文件以及賬號密碼等重要信息。由于被國內有很多都論壇允許任意用戶直接插入任意外網Flash文件,這就導致黑客有機可乘。
攻擊流程
該樣本中使用的攻擊手段
該掛馬者通過寫注冊表來過UAC
該掛馬者通過釋放一個帶簽名的iexplore.exe(非微軟簽名),來逃避殺軟的查殺.
該掛馬者通過還進行了白利用,通過將數據注入到explore.exe來進行敏感操作來逃避殺軟的查殺
該掛馬者通過利用白進程來寫服務,讓自己的程序以服務的形式啟動。長期駐扎在用戶系統中
該掛馬者通過購買動態域名來進行掛馬,讓分析者很難追蹤其信息
樣本分析
讀取主體程序中自帶的被加密過的數據文件。下面是讀取該資源數據
讀取到該該資源數據后,程序先對該資源文件中的部分數據進行解密,解密后得到一個pe文件。該文件是一個dll,主體程序在內存中載入該dll。
新解密出來的dll會先遍歷進程查看是否存在殺毒軟件
下面是該樣本檢測的殺軟列表
360tray.exe??? 360安全衛士
qqpctray.exe 騰訊管家
alyac.exe??? 韓國免費殺軟
kvmonxp??? 江民殺軟
ccsvchst.exe 諾頓
baiduhips????? 百度
kvfw.exe??????? 江民kv防火墻
kxetray.exe??? 金山
ravmonf.exe?? 瑞星
avp.exe???????????? 卡巴斯基
uiSeAgnt.exe?? 趨勢科技
檢測環境后就開始釋放多個文件
掛馬者釋放一個帶數字簽名的iexplore.exe,該程序帶有9158(一個大型多人網絡視屏平臺)的數字簽名。下圖是正常iexplore和掛馬者釋放的iexplore的比較圖。用白利用的方式繞過殺軟的查殺
該掛馬者通過讓HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers?的鍵值指向新釋放的iexplore處來來繞過UAC。達到以管理員權限的模式來啟動“iexplore”
寫好注冊表后就啟動iexplore,傳遞一個超級超級長的亂碼參數,非人類設計o(╯□╰)o。
準備工作都做好了就開始毀尸滅跡了。刪除自身
新創建的iexplore程序會將自身攜帶的數據注入到explore.exe 中
創建服務,使iexplore在用戶電腦啟動的時候以服務的形式自啟動。以服務的形式啟動一般情況下很難察覺出中招了。因為電腦平時有很多個svchost進程。
寫完在服務后就以服務的方式啟動程序
創建網絡連接,對用戶電腦進行監控
服務啟動后,解析其域名,然后一直不停的在162.251.20.165處發送心跳包。通過反ip查詢到到掛馬者用的是公云動態域名。
信息追蹤
在最近找到兩個論壇中,其中該掛馬著在小七論壇上注冊的用戶是一個老用戶。從2014年就注冊了,小七論壇是國內的一個免殺論壇,黑吃黑啊。在這個充滿利益的地方,有多少想著給別人種馬的人,卻在不知不覺中已經被別人種上了馬。不要老想著做不好的事,小心螳螂捕蟬黃雀在后。
這個是該掛馬者在小七論壇上掛馬截圖,就一個簡簡單單的回復,平時一般這種都會被看做是水貼啥的,也不會有人會怎么去關注,但是這條回復后面卻藏者一個鏈接。在你什么也不操作的情況下,只要觸發了
Adobe Flash Player漏洞(CVE-2015-5122),你就中招了。
從該用戶分享資源的連接我們找到該用戶的百度云賬號。臥槽居然有QQ號,看到的時候激動了一下。但是該QQ號應該是該掛馬者專門用來做不干凈的東西的,所以并沒找到有價值的東西。o(╯□╰)o白開心
車道山前必有路但是在小七論壇中我們還看到該掛馬者發布的一個帖子。
該貼直接跳轉到sadboy.org論壇的一個flash掛馬視頻帖,居然是管理員。o(╯□╰)o
從上面信息找到該掛馬者就是該論壇的站長。在查詢該論壇信息時發現該論壇注冊時使用的信息都是假信息(保密工作還是做得不錯的)。唯獨一個foxmail郵箱是真的
在該掛馬者的論壇上,我們找到一個賣遠控的群
在該群內,我們還找到了該掛馬者。喪病啊,不僅掛馬還賣遠控。真的是什么黑錢都賺啊。我就想問黑錢不燙手么?
不僅賣遠控還賣各種泄露出來了的數據庫o(╯□╰)o
在注冊該論壇的時候發現需要購買邀請碼,點過去就看到該掛馬者的一部分名字
然后我們在論壇發現了一個支付寶賬號,剛好就是該論壇注冊時的那個郵箱賬號
然后在手機上的支付寶上看了一下,是和論壇的購買邀請碼的那個是同一個賬號。并且我們還拿到了該作者的全名
![][27]
小七論壇是國內知名的一個免殺論壇,一個 免殺論壇被掛馬,每日訪問量上萬。多少有點偷雞不成蝕把米的意味在里面。都想著免殺過殺軟。但是卻被別人在背后插了縫。想想掛馬者控制了大量到處散播免殺木馬人的電腦,自己掌握的用戶就變double了。常在河邊走哪有不濕鞋啊。