盤一盤2018年那些難纏的頑固病毒木馬 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2019-02-28 瀏覽次數(shù): |
信息來源:FreeBuf
一、前言有一類病毒木馬令中招者無比頭疼,怎么頭疼呢,就是普通網(wǎng)友一旦中招,一般的殺毒方法殺不干凈。用殺毒軟件殺不完,格式化重裝行不行?但這類病毒一般網(wǎng)友格式化重裝很快發(fā)現(xiàn)又來了。什么樣的病毒如此頑固,今天讓我們來盤一盤。 頑固病毒主要指利用計算機啟動后較早的時機獲得執(zhí)行機會,運行在系統(tǒng)底層的Bootkit病毒及Rootkit病毒。Bootkit病毒會感染磁盤MBR、VBR,在系統(tǒng)引導階段就獲得執(zhí)行控制權,有啟動早,隱藏性高等特點。Rootkit病毒在Ring0層執(zhí)行,有著較高的權限,往往通過掛鉤磁盤鉤子,注冊回調(diào)等技術手段實現(xiàn)自保護,有與殺軟對抗激烈,變種多等特點。 2018年較為活躍的Bootkit/Rootkit病毒家族包括暗云、獨狼、外掛幽靈、血狐、紫狐、隱魂、雙槍、主頁保安木馬等等家族,其中下半年最為活躍的Rootkit病毒家族為獨狼家族,僅電腦管家進行披露的獨狼家族相關的病毒感染事件就有3例,傳播渠道從獨狼一代的盜版GHOST系統(tǒng)到獨狼二代的激活工具,從主頁鎖定,刷量獲利到傳播盜號木馬,到強力破壞殺毒軟件功能,可謂是無惡不作。 Bootkit最為活躍的病毒家族為暗云及隱魂系列,其中暗云不僅頻繁更換C2網(wǎng)址,還首次發(fā)現(xiàn)和Mykings僵尸網(wǎng)絡進行捆綁傳播,此外國內(nèi)廠商披露的暗云變種”隱匿者”也加入了挖礦的行列。Bootkit病毒家族隱魂最早在2017年被披露,其變種“隱蜂”最主要的變現(xiàn)方式也是挖礦。 Bootkit/Rootkit病毒傳播渠道可以分為四大類,主要包括盜版Ghost系統(tǒng)、激活工具、游戲外掛輔助及下載器、第三方流氓軟件,及通過漏洞利用弱口令爆破等傳播新方式。值得注意的是,騰訊御見威脅情報中心在不同的時間段隨機抽取了各大系統(tǒng)下載站點共對270個系統(tǒng)下載鏈接下的系統(tǒng)進行檢測,發(fā)現(xiàn)預埋病毒導致的系統(tǒng)異常的下載鏈接共202個,異常占比高達75%。 本文主要從Bootkit/Rootkit病毒活躍家族、傳播渠道、對抗技術、典型案例四個方面盤點2018年病毒的主要態(tài)勢及變化。 二、2018年活躍 B(R)ootkit病毒家族盤點Bootkit/Rootkit病毒依然是C端普通用戶感染后查殺難度較大的主要病毒類型,2018年較為活躍的Bootkit/Rootkit 病毒家族包括暗云、獨狼、外掛幽靈、血狐、紫狐、隱魂、雙槍、主頁保安木馬等家族。 典型的Bootkit/Rootkit病毒感染事件包括:
騰訊御見威脅情報中心對Rootkit病毒的簽名信息進行統(tǒng)計,發(fā)現(xiàn)Rootkit病毒的簽名信息高度集中,部分簽名會被泛濫使用,其中以“上海預聯(lián)軟件技術有限公司”及“雙雙何”最為嚴重被木馬病毒使用的最為廣泛。 被病毒濫用簽名 對2018年度主要的活躍Bootkit/Rootkit進行統(tǒng)計,其主要的變現(xiàn)獲利方式有刷流量,鎖主頁,惡意推廣,網(wǎng)絡攻擊,挖礦等。其中鎖主頁仍然是最主要的變現(xiàn)方式,占比高達35%,其次為刷流量及軟件推廣,占比30%,其中暗云,獨狼等家族其主要變現(xiàn)方式就是鎖主頁及刷量。隨著挖礦黑產(chǎn)的興起,挖礦獲利也逐漸增多(占比10%),如“隱蜂”木馬,暗云新變種等Bootkit木馬也轉(zhuǎn)投挖礦獲利。 頑固木馬的主要獲利變現(xiàn)方式 三、B(R)ootkit病毒傳播渠道1. 盜版Ghost系統(tǒng)盜版Ghost系統(tǒng)長期以來一直都是病毒傳播的重要載體,更為重要的是,預埋了病毒的盜版Ghost往往利用搜索引擎廠商的廣告競價排名,使得普通網(wǎng)民在搜索“Ghost”系統(tǒng),“win 7”,“激活工具”等相關關鍵字時顯示在搜索前幾名的絕大部分都是帶毒的系統(tǒng),即使網(wǎng)民試圖通過搜索引擎搜索“凈化版”,展示的搜索結果仍會在靠前的位置展示內(nèi)嵌病毒的下載鏈接。 帶毒Ghost系統(tǒng) 騰訊御見威脅情報中心對各大站點的Ghost系統(tǒng)進行了檢測發(fā)現(xiàn)有幾個特點:
騰訊御見威脅情報中心在不同的時間段隨機抽取了各大系統(tǒng)下載站點共對270個系統(tǒng)下載鏈接下的系統(tǒng)進行檢測,發(fā)現(xiàn)預埋病毒導致的系統(tǒng)異常的下載鏈接共202個,異常占比高達75%,這里的系統(tǒng)異常指由于系統(tǒng)預埋病毒導致的主頁被鎖定,暗刷流量,流氓推裝其他軟件等系統(tǒng)異常問題。 異常系統(tǒng)占比 部分問題下載鏈接及站點 盜版Ghost系統(tǒng)已成病毒傳播溫床,重要的原因是其背后存在利益驅(qū)動。首先是盜版Ghost系統(tǒng)通過廣告競價排名獲得網(wǎng)絡訪問量以吸引用戶下載安裝,隨后Ghost系統(tǒng)中預裝病毒,最終實現(xiàn)軟件推廣安裝,劫持主頁等手段進行獲利。獲利之后再繼續(xù)加大推廣力度,形成一個完整的閉環(huán)產(chǎn)業(yè)鏈。 鑒于盜版Ghost系統(tǒng),各類激活工具已長期頻繁地被病毒團伙利用傳播,建議網(wǎng)民盡量使用正版軟件。 病毒獲利鏈 2. 盜版激活工具、游戲外掛及各類下載器游戲外掛,各類輔助工具也是病毒傳播的重要載體,其目標為游戲玩家,而傳播這些外掛輔助工具的主要是各大外掛網(wǎng)站,包括七哥輔助網(wǎng)(www.52wzlt.cn)、我愛輔助網(wǎng)(www.50fzw.com)、屠城社區(qū)等多個游戲輔助網(wǎng)站。 經(jīng)常被用于和病毒打包捆綁傳播的外掛輔助工具包括荒野設備解封器、單板方框透視、DNF夢幻裝備、帝王破解版等。2018年披露的通過外掛輔助進行傳播的Rootkit/Bootkit包括雙槍木馬,紫狐,外掛幽靈等病毒家族。 流行的帶毒游戲外掛、輔助工具 2018年,被用于傳播病毒的激活工具中最活躍的莫過于小馬激活工具。激活工具有多個變種,打著win7 激活、系統(tǒng)激活、office激活的名義,換各種馬甲傳播,病毒文件往往和激活工具捆綁打包,運行后便會染毒。獨狼2代就是主要通過激活工具進行傳播。 小馬激活工具 3. 第三方流氓軟件除了前面提到的的盜版Ghost系統(tǒng)、激活工具、下載器等傳播渠道,第三方流氓軟件也是Rootkit/Bootkit病毒的重要傳播渠道。 第三方流氓軟件的主要特點是,這些軟件往往都是用戶主動去進行下載安裝,看起來和正常的軟件沒什么區(qū)別,都有完整的安裝及展示界面,但是這些軟件卻神不知鬼不覺地往用戶電腦機器上安裝病毒文件,這類傳播渠道往往有隱秘性,看起來像“正規(guī)”商業(yè)軟件,用大量網(wǎng)民使用。 這類傳播渠道的病毒感染安裝主要有兩種方式,一種是安裝完軟件后并不會馬上感染病毒,而是過一段時候后通過云端控制或者軟件升級的方式下載安裝病毒,另一種方式是病毒和軟件捆綁安裝。 這類傳播渠道已成為病毒傳播的重要推手,僅僅在2018年下半年,經(jīng)電腦管家首先進行披露的利用第三方流氓軟件傳播Rootkit/Bootkit病毒的就有主頁保安、血盟榮耀微端、護眼小秘書、酷玩游戲盒、桌面助手等軟件。 護眼秘書、血盟榮耀展示界面 4. 利用漏洞、弱口令爆破等傳播新方式通過弱口令爆破,漏洞利用成功后進行投毒,以前這類病毒傳播入侵方式更多的是集中于B端企業(yè)用戶。但近年來隨著挖礦病毒、勒索病毒的興起,挖礦勒索等病毒為了增加查殺難度,獲得更早的執(zhí)行機會,也會和Rootkit/Bootkit這類頑固病毒進行捆綁傳播。 其中最為典型的案例如,暗云木馬和Mykings僵尸網(wǎng)絡捆綁傳播,由于暗云木馬在系統(tǒng)引導階段之前就獲得了執(zhí)行機會,其執(zhí)行時機要比操作系統(tǒng)還要早,這就大大增加了查殺成本和難度,在這次傳播事件中,首先是通過SQL SEVER弱密碼進行爆破,爆破成功后投放暗云木馬、Mykings僵尸病毒,隨后Mykings僵尸病毒會利用多種漏洞在內(nèi)網(wǎng)主動擴散,永恒之藍、Telnet爆破、FTP爆破等都是病毒傳播者最慣用的伎倆。 入侵傳播方式 嘗試SQLSEVER弱密碼爆破 四、對抗技術升級盤點1. 攔截過濾Rootkit病毒往往會注冊各種各樣的回調(diào),或者hook系統(tǒng)相關函數(shù),以在合適的時間點獲得執(zhí)行機會,在回調(diào)函數(shù)中完成相關的攔截過濾功能。以獨狼一代為例,獨狼系列病毒家族可以說是病毒高難度對抗的集大成者,這是一個過濾型驅(qū)動,具有完善的過濾架構,攔截過濾點包括文件過濾、網(wǎng)絡過濾等,下圖為過濾點及其使用的技術,及影響風險。 獨狼Rootkit過濾點 2. 對抗殺軟Bootkit/Rootkit病毒為了躲避殺軟查殺,對抗技術手段有很多,常見的一些對抗手段如下: 道高一尺魔高一丈,殺毒軟件和頑固病毒的對抗是一個持續(xù)性的過程,每當病毒用一種新的方法來躲避或者繞過殺毒軟件查殺的時候,很快殺毒軟件也會升級查殺能力對新病毒進行查殺。走投無路了病毒也會放出大招,比如強制重啟電腦以阻斷查殺過程。 2018年電腦管家披露的主頁保安病毒就使用了這種強對抗手段來躲避查殺,其主要邏輯為木馬會不斷的檢查系統(tǒng)啟動組注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder下的List鍵值,系統(tǒng)默認該鍵值第一項為SystemReserved,如果檢查到啟動組第一項不是System Reserved則暴力重啟電腦,通過OUT指令直接寫IO端口0×64實現(xiàn)強制重啟,往64號端口寫入0xFE后電腦強制重啟以阻斷殺毒軟件查殺 暴力重啟電腦 設備占坑 3. 自保護這里提到的自保護主要指病毒為了防止被用戶發(fā)現(xiàn),或被安全研究人員分析透徹,往往會通過一些技術手段來保護自身以加大被發(fā)現(xiàn)或被分析的難度。 最常見的自保護對象是病毒文件及對應的注冊表項。注冊表的保護主要是通過注冊cmpcallbakck回調(diào)來完成,通過阻止或者隱藏自身注冊表以達到自保護的目的。病毒文件的保護也是通過底層的文件鉤子來實現(xiàn)。此外為了防止被ARK等分析工具發(fā)現(xiàn)往往會隱藏自身的模塊信息。 隱藏模塊信息 Bootkit的自保護主要是保護自身的MBR或者VBR感染代碼及payload不被發(fā)現(xiàn),比如暗云木馬會根據(jù)磁盤類型和操作系統(tǒng)替換DriverStartIo、 AtapiHwStartIo、RaUnitStartIo等函數(shù),實現(xiàn)阻止其他程序讀取磁盤1-3F 扇區(qū)(MBR)。當檢測到讀MBR時, 返回一個構造好的正常的MBR作欺騙,檢測到寫MBR時,則直接pass該操作。 MBR保護掛鉤邏輯 五、典型案例2018年下半年最為活躍的Rootkit病毒家族為獨狼家族,僅騰訊電腦管家進行批露的獨狼家族相關的病毒感染事件就有3例,傳播渠道從獨狼一代的盜版GHOST系統(tǒng)到獨狼二代的激活工具,從主頁鎖定,刷量獲利到傳播盜號木馬,到強力破壞殺毒軟件功能,可謂是無惡不作。 Bootkit最為活躍的病毒家族為暗云及隱魂系列,其中暗云不僅頻繁更換C2網(wǎng)址,還首次發(fā)現(xiàn)和Mykings僵尸網(wǎng)絡進行捆綁傳播,此外國內(nèi)廠商披露的暗云變種“隱匿者”也加入了挖礦的行列。Bootkit病毒家族隱魂最早在2017年被披露,其變種“隱蜂”最主要的變現(xiàn)方式也是挖礦。 1. 獨狼Rootkit病毒家族獨狼一代病毒家族最早由騰訊電腦管家于2018年6月披露,獨狼一代其傳播渠道主要是Ghost系統(tǒng)。騰訊御見威脅情報中心已在不同的Ghost系統(tǒng)中捕獲到多個“獨狼”系列Rootkit,包括Jomalone系列,chanel系列,Msparser系列,Wdfflk系列,在不同的Ghost系統(tǒng)里會以固定的服務名(如Jomalone)啟動,每個系列有多個變種。 獨狼系列其PDB信息都是PASS Through.pdb(過濾),都是一個過濾型驅(qū)動,具有完善的過濾架構,包括文件過濾、網(wǎng)絡過濾、進程創(chuàng)建過濾、注冊表過濾、模塊加載過濾等。這四個系列中出現(xiàn)最早的是在2017年10月。此外其簽名信息都有著高度關聯(lián)性。 參考鏈接: 盜版Ghost系統(tǒng)攜“獨狼”Rootkit來襲,鎖定瀏覽器主頁超20款 https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ 獨狼系列出現(xiàn)時間文件簽信息 獨狼二代重新拓展了傳播渠道,并且各個病毒模塊功能都得到進一步改進,傳播渠道由單一的Ghost盜版系統(tǒng)傳播演變?yōu)榧倜跋到y(tǒng)激活工具傳播。主要通過靜默推廣安裝瀏覽器獲利,并會鎖定23款瀏覽器主頁,將瀏覽器地址欄鎖定為帶推廣渠道號的網(wǎng)址導航站,和獨狼一代一大區(qū)別為從純Rootkit驅(qū)動劫持首頁,轉(zhuǎn)變?yōu)閮?nèi)存解密Payload結合瀏覽器注入實現(xiàn),此外還會靜默推裝瀏覽器 參考鏈接: Rootkit病毒“獨狼2”假冒激活工具傳播,鎖定23款瀏覽器主頁 獨狼系列病毒靜默安裝的瀏覽器 獨狼系列最新變種,會通過“酷玩游戲盒子”、“桌面助手”、“玩玩游戲”等軟件傳播盜號木馬,該木馬累計已感染超過5萬臺電腦。軟件運行后會首先下載偽裝成WPS的病毒,再下載安裝“獨狼”Rootkit病毒,最終進行營銷推廣、惡意推裝更多軟件來獲利。 木馬作者疑似偽造“北京方正阿帕比技術有限公司”的相關信息,申請了正規(guī)的數(shù)字簽名,該病毒文件會下載Steam盜號木馬,因病毒程序擁有合法數(shù)字簽名導致多款殺毒軟件未及時查殺,這是該病毒感染超過5萬電腦的重要原因。 參考鏈接: 酷玩游戲盒子偽造知名公司數(shù)字簽名,傳播Steam盜號木馬 https://mp.weixin.qq.com/s/mISZzxLJ5l9R__NmIatObQ 獨狼木馬執(zhí)行流程 2. 暗云木馬暗云家族最早由電腦管家于2015年進行披露,18年9月國內(nèi)安全廠商披露了暗云變種“隱匿者”轉(zhuǎn)投挖礦,病毒暴力破解用戶數(shù)據(jù)庫入侵電腦,MBR感染代碼獲得執(zhí)行后將惡意代碼注入到系統(tǒng)進程中(winlogon或explorer進程),最終惡意代碼會下載后門病毒到本地執(zhí)行,后門病毒會下載執(zhí)行挖礦相關病毒模塊,挖取門羅幣。 參考鏈接: “隱匿者”病毒團伙技術升級傳播病毒 https://www.huorong.cn/info/1536227902151.html 暗云木馬挖礦配置信息 騰訊御見威脅情報中心2018年12月監(jiān)控到暗云最新動態(tài),和Mykings僵尸網(wǎng)絡木馬捆綁傳播,通過MS SQL SEVER弱密碼入侵用戶機器成功后會執(zhí)行遠程腳本命令,遠程腳本執(zhí)行后會下載多個木馬文件到本地執(zhí)行包括暗云感染器、Mykings僵尸網(wǎng)絡木馬、Mirai僵尸網(wǎng)絡木馬。和以往的暗云系列相比,主要變化包括會強制結束包括管家、360等殺軟進程,隨后注入應用層的payload會根據(jù)云端配置文件進行主頁鎖定及下載執(zhí)行木馬病毒等功能。(參考鏈接:[5]) 弱口令爆破SQL Server服務器,暗云、Mykings、Mirai多個病毒家族結伴來襲 https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q 暗云配置文件 3. 隱魂木馬家族隱魂系列最早于2017年進行披露,和暗云系列最大區(qū)別為payload的存儲區(qū)域及hook流程有著較大差異,暗云payload存儲在3到63扇區(qū),而隱魂系列存儲在磁盤末尾。 隱魂系列最新變種“隱蜂”其主要的變現(xiàn)方式也是挖礦,“隱蜂”挖礦木馬在R3層的框架設計比較復雜,整個R3層解壓后的模塊配置文件總數(shù)多達30+,同時引入LUA腳本引擎實現(xiàn)靈活的策略控制。 參考鏈接: “隱蜂”來襲:全球首例Bootkit級挖礦僵尸網(wǎng)絡 https://www.freebuf.com/articles/network/173400.html “隱魂”木馬篡改主頁分析 https://www.freebuf.com/articles/system/144792.html 隱魂木馬挖礦策略配置 4. 外掛幽靈團伙2018年10月騰訊御見披露了外掛幽靈團伙,主要通過七哥輔助網(wǎng)(www.52wzlt.cn)、我愛輔助網(wǎng)(www.50fzw.com)等多個游戲輔助工具(外掛)網(wǎng)站傳播“雙槍”、“紫狐”等木馬。 這些網(wǎng)站提供的多款游戲外掛工具中被捆綁多個惡意程序,主要包括鎖主頁程序、“雙槍”病毒家族和“紫狐”木馬家族等等,兩個病毒家族影響了全國數(shù)以萬計的電腦。 參考鏈接: “外掛幽靈”團伙曝光 系雙槍、紫狐兩大病毒家族的幕后推手 游戲外掛捆綁的木馬 紫狐是一類利用系統(tǒng)正?!盤ending File Rename Operations”機制替換系統(tǒng)文件,實現(xiàn)開機自動啟動加載驅(qū)動(自動下載軟件)的惡意木馬,此外木馬還會會進行多次刪除替換,來創(chuàng)建多次進程鏈實現(xiàn)斷鏈防止查殺,木馬運行后會聯(lián)網(wǎng)下載推廣安裝軟件來獲利。 參考鏈接: “紫狐木馬”暴力來襲 安裝文件 雙槍木馬是一類會感染MBR及VBR的Bootkit病毒家族,2018年8月電腦管家監(jiān)測到該家族新變種,多個外掛網(wǎng)站會傳播雙槍木馬,包括屠城社區(qū)、七哥輔助網(wǎng)等,這些網(wǎng)站提供的多款游戲外掛程序中會捆綁安裝一款名為“開心輸入法”的違規(guī)軟件,“雙槍”木馬下載器就隱藏在這款輸入法中。 中毒電腦的瀏覽器主頁被鎖定為帶有“39201”計費編號的網(wǎng)址導航站,同時“雙槍”木馬變種還會在系統(tǒng)預留后門以竊取用戶敏感信息,另外會切斷主流殺毒軟件的聯(lián)網(wǎng)功能,會造成殺毒軟件升級更新、下載病毒庫、下載附加組件、云查殺等等關鍵功能均被破壞。 參考鏈接: “雙槍”木馬專攻游戲外掛玩家,鎖定主頁強推開心輸入法 https://mp.weixin.qq.com/s/bnbT7nY6QeGJJS_6tVonVw 雙槍木馬感染流程 5. 血狐木馬血狐木馬通過二次打包并借用第三方渠道假冒傳奇微端傳播,攜帶正規(guī)白簽名,且簽名廠商直接偽裝國內(nèi)某知名游戲公司,以此獲得渠道商的信任,并因為擁有合法數(shù)字簽名而容易欺騙殺毒軟件。 當用戶在電腦安裝這個假冒的傳奇微端時,病毒隨即釋放安裝血狐Rootkit。當中毒電腦用戶啟動瀏覽器訪問搜索引擎網(wǎng)站和電商網(wǎng)站時,瀏覽器URL均被劫持到含病毒作者推廣ID的鏈接,至此,中毒用戶的每次訪問,均會給病毒作者帶來傭金收入。 參考鏈接: “血狐”病毒偽裝傳奇微端 https://mp.weixin.qq.com/s/–n1w4aV0HUNVQUObPVbhg 參考資料:
|
下一篇:新發(fā)現(xiàn)的 thunderclap 漏洞允許黑客使用 Thunderbolt/USB-C 外設攻擊 PC |