原文地址:http://drops.wooyun.org/papers/14412

Author:360天眼實驗室

0x00 引子

人在做，天在看。

360天眼實驗室一直與各種木馬遠程做斗爭，對手總是試圖找到辦法使自己處于安全監視者的雷達之外。近期我們看到了一些較新版本的大灰狼木馬采用了一種新的上線方式，與利用QQ空間、微博、博客或者網盤等方式上線相似，其通過調用QQ一個獲取用戶昵稱的接口來獲取上線地址，又一種通過正常通信渠道進行非正常通信的企圖。

當一個方法被證明有效，很容易就會被其他造馬者“借鑒”。通過基于360威脅情報中心數據的關聯性分析，我們發現了一個名為Free Star的木馬也采用了這種上線方式，該木馬最早出現于2015年2月左右，作者從2015年5月開始在各個免殺論壇售賣源碼，而新版本活動時間就在2016年1月份至今。其部分代碼結構和Gh0st、大灰狼的代碼比較相似，可以認為是那些遠控的衍生版本。

下圖為從某免殺論壇下載到的Free Star木馬控制端，可以看見配置Server端中需要將IP地址加密后設置成QQ昵稱，然后由服務端通過訪問對應的接口來獲取QQ昵稱，進而解密出木馬上線的IP地址：

訪問的接口如下：

今天我們要分析的對象就是這個名為Free Star的木馬，這個也是360天眼實驗室新晉小伙伴的處女作。

0x01 樣本分析

樣本信息基本識別信息如下，供同行們參考。

木馬文件MD5: c3d7807f88afe320516f80f0d33dc4f3、a1bb8f7ca30c4c33aecb48cc04c8a81f

分析得到木馬主要行為總結：

• 添加服務項，開啟服務，轉移自身文件
• 用gethostbyname函數獲取上線地址或訪問QQ昵稱接口獲取木馬上線地址，并進行網絡連接
• 檢測殺軟進程
• 開啟線程接收指令，執行遠控功能

添加服務項，開啟服務，轉移自身文件

木馬首先判斷是否已經注冊了服務項，如果沒有注冊，進入自拷貝、創建服務的流程：

創建服務

調用StartServiceA開啟服務，進入主功能流程

在拷貝自身，移動到%appdata%中指定目錄

創建自刪除腳本并執行，用于刪除自身文件以隱藏自身

腳本內容如下：

獲取上線地址

以服務項啟動進入時，通過注冊表對應的項判斷服務是否存在，決定是否進入開始進行網絡連接。

解密動態域名、QQ號、端口號：

解密算法是Base64解碼后，異或0x88 ，加0x78，再異或0x20

獲取IP地址

如果第一種方式不成功，則通過訪問QQ昵稱接口獲取IP地址：

獲取到的QQ昵稱為： deacjaikaldSS

對獲取到的QQ昵稱解密：解密算法是 + 0xCD

解密后取得IP地址為： 1.207.68.91 ，開始連接：

循環連接這兩個地址直到連接成功，連接成功后進入遠控流程

獲取受害者系統信息

首先獲取主機名

獲取CPU型號

獲取其他信息等等

遍歷進程，查找殺軟進程

檢查殺軟的進程名用一個雙字數組來存儲，每個雙字的值是指向對應殺軟進程名的字符串的指針。如下：

創建新線程，用于循環等待接收遠控指令

最后創建一個新的線程，用于接收遠控指令，主要的功能有遠程文件管理、遠程Shell、屏幕監控、鍵盤記錄等等，這里就不再贅述了。

代碼整體流程圖如下：

0x02 幕后黑手

這種通過QQ昵稱獲取上線地址的方式在躲避檢測的同時也暴露了放馬者的QQ號，我們在通過樣本拿到的QQ號中找到了一個比較特殊的：550067654

通過搜索引擎，我們發現這個QQ號有可能是木馬作者的一個業務QQ號，這個QQ在多個免殺論壇上注冊了賬號，經過進一步的確認，發現其的確是木馬作者：

從作者在某論壇上展示的木馬功能截圖可以發現，其曾經在貴州畢節地區活動。

我們還發現作者用QQ郵箱賬號注冊了支付寶賬號，通過支付寶賬號的信息，發現作者的名字可能是： *怡

通過某社工庫，我們找到了作者經常使用的qq郵箱和密碼，通過這條線索，我們找到了更多的信息：

在某商城發現了幾筆訂單信息，從而取到作者的名字、常在地區：

從身份證信息來看，確定作者是貴州畢節地區的人，名字就叫田怡。這也與上面獲得的信息一致。

關于木馬作者的追蹤到此就告一段落了，有興趣的同學們可以繼續深挖，用一張天眼威脅情報中心數據關聯系統生成的關系圖來結束此次挖人之旅。

0x03 傳播途徑

分析完樣本和木馬作者之后，我們再看看該類木馬的傳播途徑。

在我們捕獲到的眾多樣本中，有一個樣本訪問的地址引起了我們的注意，通過關聯，發現這是一些掛機、點擊軟件訪問的地址，http://sos.hk1433.cc:10089/bbs.html

打開網頁后，查看源代碼，如下：

可以看到，這個頁面加載了一個swf文件。將這個swf文件下載后打開，發現是Hacking Team的flash漏洞利用，下圖紅色框出的部分就是ShellCode：

ShellCode的功能就是一個Dropper，會將之前解密出來的PE釋放并執行，而這個PE文件正是Free Star木馬。

解密前的PE文件：

解密后：

ShellCode：

由此我們可以知道，該木馬的傳播方式之一即是通過網頁掛馬。

通過上圖可以看到掛馬頁面在3月28日上午9點上傳，截至我們寫這份報告的時間，3月29下午16點，點擊量已經有13000多，而這僅僅只是冰山一角，但是在這里就不再深入。在我們的360威脅情報中心可以很容易地通過關聯域名查詢到對應的樣本：

0x04 總結

通過這次分析，我們發現這個木馬本身所用到的技術相當普通，與之前發現的木馬基本一脈相承，體現出迭代化的演進。由于巨大的利益驅動，黑產始終保有對技術和機會的高度敏感，就象任何先進的技術首先會被用于發展武器一樣，成熟可靠的漏洞利用技術及躲避檢測的方案幾乎肯定會立刻被黑產所使用傳播。360威脅情報中心的數據基礎以及自動化的關聯分析為我們從樣本分析、關系判定、來源追溯提供全方位的信息支持，成為我們用來對抗黑產以及其他高級攻擊的強有力的武器。