<span id="7ztzv"></span>
<sub id="7ztzv"></sub>


<span id="7ztzv"></span><form id="7ztzv"></form>


<span id="7ztzv"></span>
    

      

        <address id="7ztzv"></address>
            
				
            原文地址:http://drops.wooyun.org/papers/11727
            
				
      
            
        
            0x00 引言
            


            


            剛重裝的系統就中毒了,這是很多網友常常遇到的事,難道是中了引導區木馬?甚至bios中毒?其實沒那么復雜,很可能是你安裝的系統自帶了木馬。
            


            0x01 “蘇拉克”木馬簡介
            


            


            “蘇拉克”木馬是2015下半年來持續爆發的木馬,該木馬感染了大量的計算機,其主要傳播釋放是直接在ghost鏡像中植入木馬,然后將ghost鏡像上傳到大量網站提供給用戶下載,此外,近期也發現該木馬的win8、win10版本通過oem激活工具植入用戶電腦中。由于該木馬的主要模塊名為“surak.sys”,且通過分析得知該木馬的項目名稱即為“surak”,因此將其取名“蘇拉克”木馬。
            




            0x02 “蘇拉克”木馬特點
            


            


              

            1. 傳播渠道隱蔽,由于該木馬被直接植入到ghost鏡像中,用戶一安裝系統就自帶該木馬,而此時尚未安裝任何安全軟件,因此木馬的傳播過程完全不在監控中。
              2. 

            2. 影響用戶多,由于大量網站傳播該類ghost鏡像,且此類網站投入了大量推廣費進行推廣,普通用戶通過搜索引擎找到的鏡像下載站幾乎全是帶木馬的。此類鏡像涵蓋了“雨林木風”、“深度技術”、“電腦公司”、“蘿卜家園”、“番茄花園”等主流ghost。
              3. 

            3. 難以清除,由于木馬進入系統時間比安全軟件早,掌握了主動權,對其后安裝的安全軟件做了大量的功能限制,使其大量功能無法正常使用,如安全防護無法開啟、信任列表被惡意操作等,導致難以檢測和清除木馬。
              4. 

            4. 對用戶電腦安全威脅大,“蘇拉克”木馬除了鎖定瀏覽器主頁獲利外,還會實時連接云端獲取指令,能夠下載其它木馬到本地執行,給系統安全造成了極大的威脅。此外,針對64位系統,該木馬還會修改系統內核文件,使得64位系統自帶的驅動簽名校驗、內核防鉤子等安全機制全部失效。
              5. 

            


            p1 圖1. “蘇拉克”木馬產業鏈示意圖
            


            0x03 “蘇拉克”木馬行為分析
            


            


            “蘇拉克”木馬的功能主要分為4大模塊,即內核Rootkit模塊、應用層主體模塊、應用層加載器模塊、應用層上報模塊。模塊分工明確,可擴充性強,配置靈活,且所有的通訊都使用高強度加密算法加密(AES & RSA),該木馬有xp版、win7版、win8版、win10版,除xp版外其它版本又分為32位版本和64位版本,每個版本功能基本一致,以下以xp版本為例進行分析,其它版本行為類似。
            


            通過各個模塊分工協作,該木馬完成了主頁鎖定、云端控制、插件下載、對抗安全軟件等功能。
            


            p2
            


            1、啟動模塊行為(MD5:a3c79b97bdea22acadf951e0d1b06dbf)
            


            qidong32.dll的功能單一,其被注冊成系統組件,開機時隨系統啟動,由Explorer.exe進程加載執行。該文件被加載后首先判斷自己是否位于explorer.exe進程或者regsvr32.exe進程中,若是,則啟動system32\drivers\UMDF\boot.exe文件。該文件是木馬的主體文件,預置在帶毒的Ghost系統中。
            


            p3 圖3
            


            p4 圖4
            


            2、主體模塊行為(MD5:bf47d80de3852e7ef6b86ac213e46510)
            


            Boot.exe文件是該木馬的主體模塊,主要負責定時從云端下載最新的配置信息及負責其它模塊的調度、插件下載、數據傳遞等。
            


              

            1. 運行后首先從云端下載http://xp.xitongzhu.com/2.0xpFileList.dl文件,該文件使用AES加密,密鑰為“DownloadKey”,顧名思義該配置文件與下載相關,解密后的該文件如圖5所示,主要包含要下載的文件列表、文件類型、本地存儲路徑等。
              


              p5 圖5.解密后的2.0xpFileList.dl
              2. 

            2. 解析配置文件,并進行相應的下載,下載完成后根據類型進行Load或者Exec。
              


              p6 圖6
              3. 

            3. 完成以上行為后,將下載成功后的文件路徑按一定格式存儲,并使用AES加密(密鑰:dl_encrypt)存儲在C:\Windows\System32\drivers\UMDF\dllist文件中,即插件列表。
              


              p7 圖7. 存儲插件列表
              4. 

            4. 下載http://xp.xitongzhu.com/2.0xpSurakConfig.cfg到內存中,該文件是木馬的配置文件,下載后計算配置文件的MD5值,并與C:\Windows\System32\drivers\UMDF\hash\config中存儲的值進行比較,以判斷配置文件是否更新,如果更新則將其傳給surak.sys
              


              p8 圖8. 下載配置文件并比較MD5
              5. 

            5. 該配置文件分為三部分,分別使用AES進行加密,密鑰均為“ConfigEncryptKey”,解密后的單個配置信息結構大致如圖9所示。
              


              p9 圖9. 配置信息數據結構
              6. 

            6. 配置文件對應的木馬功能分別如下:
              




              p10 圖10. 注冊表相關的配置信息
              


              p11 圖11. 文件操作相關的配置信息
              


              p12 圖12. 進程隱藏相關配置信息
              


              p13 圖13. 阻止驅動加載的相關配置信息
              7. 

            7. 解密完配置文件后,依次將其加密后傳遞給內核surak.sys完成相應功能。
              


              p14 圖14. 將配置信息傳遞給surak.sys
              8. 

            


            3、Rootkit模塊行為(MD5:8bb5cdc10c017d0c22348d2ada0ec1dc)
            


              

            1. 掛鉤NtQuerySystemInformation函數,對應隱藏進程功能。在win7等64位系統中,由于“蘇拉克”木馬patch了系統的內核文件,因此掛鉤此函數也不會引起藍屏。
              


              p15 圖15
              2. 

            2. 注冊LoadImage回調,通過此回調函數,攔截指定sys文件加載,其攔截方式直接將DriverEntry初代碼改成返回指令。
              


              p16 圖16
              3. 

            3. 注冊CmpCallback回調,對應注冊表隱藏功能。
              


              p17 圖17
              4. 

            4. 掛鉤IofCallDriverIoCreateFileSpecifyDeviceObjectHint,對應文件隱藏功能
              


              p18 圖18
              


              p19 圖19. 在x64版本的系統中,為了能夠Hook內核,系統的內核文件被篡改
              5. 

            


            4、上報模塊行為(MD5:595738d7ca9291a3d3322039bb4dc960)
            


            tj.dll文件主要用于上報,其主要功能是收集機器信息、木馬版本信息、木馬配置信息等,使用RSA做非對稱加密,將信息上傳到服務端。
            


            p20 圖20
            


            5、木馬其它模塊(插件)行為
            


              

            1. ielock32.dll(MD5:fadb57ff6fbfaf5f7f09e83d0de4a2ed)用于鎖定瀏覽器主頁。該文件插入到explorer中,并通過掛鉤進程創建函數,以添加命令行的方式鎖主頁。
              2. 

            2. subooa.sys、suboob.sys、subooc.sys(MD5:e94faf79a7681b33b903cceb1580d7c4)這三個驅動文件都會被加載到內核中,但只是一個空的工程,未見惡意代碼。
              3. 

            


            0x04 傳播渠道探索
            


            


            “蘇拉克”直接植入到ghost系統鏡像中,其傳播渠道主要是通過推廣ghost系統傳播擴散。從10月份以來,反病毒實驗室監控到大量的傳播帶毒鏡像的網站,此類網站一般偽裝成“系統之家”網站,并通過搜索推廣或者直接刷搜索引擎來使自身排名靠前。此外各大裝機相關的論壇,布滿了帶毒ghost系統的推廣帖,吸引大量網友上鉤。
            


            p21 圖21. 偽裝成系統之家的帶毒ghost下載站
            


            p22 圖22. 通過廣告或者刷排名來使自己排名靠前
            


            p23 圖23. 通過論壇發帖推廣帶毒ghost系統
            


            0x05 結語
            


            


            隨著安全軟件的普及和防護能力的強化,木馬想繞過安全軟件的防護深入用戶系統變得非常困難,因此黑產從業者們想方設法讓自己先于安全軟件進入用戶的系統,并借先入之機大肆破壞后來安裝的安全軟件,從而達到霸占用戶電腦并利用用戶電腦實現盈利的目的。近期,騰訊反病毒實驗室對通過國內各大搜索引擎查找“ghost”、“ghost xp”、“ghost win7”等關鍵詞排名前10的ghost鏡像全部進行下載安裝分析,發現90%以上的ghost鏡像都是帶有木馬的。管家在此建議用戶選擇正規渠道安裝操作系統,通過下載ghost鏡像安裝系統雖然快速省事,但其安全性,確實很令人擔憂。
            


            0x06 附錄
            


            


            目前已經發現通過各種渠道推廣的帶毒ghost鏡像下載站列表,目前管家已攔截相關網站,大家下載相關文件時注意避開這些網站。
            

      
            
    
			

            <span id="7ztzv"></span>
            <sub id="7ztzv"></sub>
            

            <span id="7ztzv"></span><form id="7ztzv"></form>
            

            <span id="7ztzv"></span>
              

                

                  <address id="7ztzv"></address>
                      

亚洲欧美在线