-
-
[原创]暗崟虫病毒分析
-
发表于: 2018-11-20 14:53
-
近期,360核心安全团队接到用户举报多款流氓软件,包括屏幕亮度调节器、超级老板键等软件采取同一手法植入恶意代码并通过各大下载站传播,在用户电脑上偷偷执行远程代码,严重影响用户的信息安全。
以下是该系列软件在下载站上的发布列表,最早可追溯到2013年,涉及各类辅助软件。
运作流程
下面我们以“屏幕亮度调节器”这款软件为例,分析该系列软件的运作流程。
样本分析
运行软件“屏幕亮度调节.exe”,表面上显示正常功能界面。而实际上,作者毫不掩饰,直接在窗口创建时展开行为。
首先加载恶意模块“ScreenFlash.dll”,并调用其导出函数“StartScreenFlashWork”来设置全局消息钩子。这一操作会使得“ScreenFlash.dll”被系统注入到每一个窗口进程中,而该模块则会在初始化加载的时候直接运行Shellcode,从而增加Shellcode的运行机会。除此之外,软件本身也创建了恶意线程来运行相同的Shellcode。
Shellcode分多段运行,ShellcCode1的主要功能是检测加密的ShellCode2是否已经存在,不存在则会联网获取加密的ShellCode2执行。首先通过TEB获取kernel32.dll的模块基址,进而解析kernel32的导出表获取GetProcAddress的地址,然后批量获取自身所需的其他API地址。
接着打开注册表项“SOFTWARE\\ScreenBright”,并查询键值HeadData。该注册表项是用来判断是否已经下载了ShellCode2,若是查询失败,则意味着还未下载,样本将进入下载流程;反之,则进入读取文件、解密执行的流程,如下图所示:
联网下载的ShellCode都是采用同一套模式,先访问加密配置后获得资源下载地址和解密key,再下载资源进行解密执行,如本例软件下载ShellCode2是先访问“57fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0V1K9r3!0E0k6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4U0M7X3g2W2L8W2)9J5c8X3y4Z5k6h3y4C8N6i4m8V1j5i4c8W2i4K6u0W2N6s2S2@1i4@1f1J5i4K6R3H3i4K6W2p5i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1^5i4@1p5%4i4@1p5K6i4@1f1#2i4@1q4r3i4K6R3$3i4@1f1#2i4@1u0q4i4K6V1%4i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1^5i4@1t1#2i4K6R3@1i4@1f1$3i4@1u0m8i4K6V1H3i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1#2i4K6W2p5i4K6R3H3i4@1f1J5i4K6R3H3i4K6W2o6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0C8x3Y4g2Q4x3X3g2U0L8$3#2Q4x3V1k6K6j5%4u0W2k6h3&6Q4x3V1k6K6j5%4u0W2k6h3&6B7N6h3#2H3i4K6u0W2k6r3q4@1i4@1f1J5i4K6R3H3i4K6W2p5i4@1f1#2i4K6V1J5i4K6S2o6i4@1f1^5i4@1p5%4i4@1p5K6i4@1f1#2i4@1q4r3i4K6R3$3K9$3g2&6i4@1f1J5i4K6R3H3i4K6W2o6x3s2R3H3x3o6b7J5y4K6q4W2y4q4!0q4x3W2)9^5x3q4)9&6c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4#2!0n7b7W2!0m8y4#2!0q4z5q4)9^5x3q4)9^5b7#2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4z5q4!0m8c8W2!0m8y4g2!0q4z5q4!0n7y4g2)9^5y4q4!0q4y4W2!0n7b7g2)9&6x3q4!0q4y4g2!0n7z5g2!0n7y4W2!0q4z5g2)9^5x3q4)9&6b7g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4g2!0m8c8W2)9^5y4W2!0q4z5g2)9&6x3W2!0m8y4g2!0q4z5q4!0m8y4#2!0m8x3#2!0q4y4g2!0m8c8W2)9^5y4W2!0q4y4g2)9^5y4#2!0n7b7g2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4W2!0m8c8g2!0n7y4g2y4Z5k6h3I4D9b7$3!0V1k6g2!0q4y4W2)9^5z5g2!0m8y4#2!0q4z5q4!0m8x3g2)9^5b7#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
ShellCode2的功能其实和ShellCode1差不多,主要是负责再次更新下载新的ShellCode3来执行。ShellCode3则由一段LoadPE代码和一个头部信息被摧毁的恶意dll模块组成,其功能主要是加载该模块运行。
准备完所需API后,ShellCode3首先申请一段内存来拷贝恶意dll模块,从下图可见其PE头部信息被大量抹除,只保留导入表、重定位表等必要的定位信息,但是数据目录原导出表位置存放了OEP以及OEP所指向的4字节内容(用于校验)。
LoadPE代码根据导入表重构IAT表、修复重定位,再简单校验OEP处4字节代码之后就开始从OEP执行恶意dll模块代码了。
程序首次运行会写注册表项SOFTWARE\\\\Classes\\\\CLSID\\\\{2B53F0A7-3238-4b4d-8582-E53618739C90}\\LockData,此时并不展开行为。
当程序再次运行并且发现LockData中的日期和当前日期不同时,便展开行为。
过程中还有一些进行环境检测,检测虚拟机、常用分析工具
检测环境通过之后首先获取当前浏览器进程名称,并根据不同的浏览器展开相应的改主页操作,支持浏览器包括360安全浏览器、360极速浏览器、qq浏览器、搜狗浏览器等主流浏览器。
感染分布
以下是此类软件在全国各地区的传播占比统计,可以看出软件主要分布在沿海各省份,其中广东为重灾区。
查杀与总结
这一系列软件主要是通过在常用软件工具中安插恶意代码的方式进行伪装,虽然目前只是在用户电脑中通过诱导或强制的方式来修改浏览器首页,但是软件作者可以随时替换服务器上的shellcode来达到控制用户电脑的目的,其风险性不言而喻。
目前360已针对此类样本全面查杀,为用户电脑保驾护航,同时也提醒广大用户安装软件时使用正规的下载渠道,避免上当受骗。
以下是该系列软件在下载站上的发布列表,最早可追溯到2013年,涉及各类辅助软件。
运作流程
下面我们以“屏幕亮度调节器”这款软件为例,分析该系列软件的运作流程。
样本分析
运行软件“屏幕亮度调节.exe”,表面上显示正常功能界面。而实际上,作者毫不掩饰,直接在窗口创建时展开行为。
首先加载恶意模块“ScreenFlash.dll”,并调用其导出函数“StartScreenFlashWork”来设置全局消息钩子。这一操作会使得“ScreenFlash.dll”被系统注入到每一个窗口进程中,而该模块则会在初始化加载的时候直接运行Shellcode,从而增加Shellcode的运行机会。除此之外,软件本身也创建了恶意线程来运行相同的Shellcode。
Shellcode分多段运行,ShellcCode1的主要功能是检测加密的ShellCode2是否已经存在,不存在则会联网获取加密的ShellCode2执行。首先通过TEB获取kernel32.dll的模块基址,进而解析kernel32的导出表获取GetProcAddress的地址,然后批量获取自身所需的其他API地址。
接着打开注册表项“SOFTWARE\\ScreenBright”,并查询键值HeadData。该注册表项是用来判断是否已经下载了ShellCode2,若是查询失败,则意味着还未下载,样本将进入下载流程;反之,则进入读取文件、解密执行的流程,如下图所示:
联网下载的ShellCode都是采用同一套模式,先访问加密配置后获得资源下载地址和解密key,再下载资源进行解密执行,如本例软件下载ShellCode2是先访问“57fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0V1K9r3!0E0k6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4U0M7X3g2W2L8W2)9J5c8X3y4Z5k6h3y4C8N6i4m8V1j5i4c8W2i4K6u0W2N6s2S2@1i4@1f1J5i4K6R3H3i4K6W2p5i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1^5i4@1p5%4i4@1p5K6i4@1f1#2i4@1q4r3i4K6R3$3i4@1f1#2i4@1u0q4i4K6V1%4i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1^5i4@1t1#2i4K6R3@1i4@1f1$3i4@1u0m8i4K6V1H3i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1#2i4K6W2p5i4K6R3H3i4@1f1J5i4K6R3H3i4K6W2o6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0C8x3Y4g2Q4x3X3g2U0L8$3#2Q4x3V1k6K6j5%4u0W2k6h3&6Q4x3V1k6K6j5%4u0W2k6h3&6B7N6h3#2H3i4K6u0W2k6r3q4@1i4@1f1J5i4K6R3H3i4K6W2p5i4@1f1#2i4K6V1J5i4K6S2o6i4@1f1^5i4@1p5%4i4@1p5K6i4@1f1#2i4@1q4r3i4K6R3$3K9$3g2&6i4@1f1J5i4K6R3H3i4K6W2o6x3s2R3H3x3o6b7J5y4K6q4W2y4q4!0q4x3W2)9^5x3q4)9&6c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4#2!0n7b7W2!0m8y4#2!0q4z5q4)9^5x3q4)9^5b7#2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4z5q4!0m8c8W2!0m8y4g2!0q4z5q4!0n7y4g2)9^5y4q4!0q4y4W2!0n7b7g2)9&6x3q4!0q4y4g2!0n7z5g2!0n7y4W2!0q4z5g2)9^5x3q4)9&6b7g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4g2!0m8c8W2)9^5y4W2!0q4z5g2)9&6x3W2!0m8y4g2!0q4z5q4!0m8y4#2!0m8x3#2!0q4y4g2!0m8c8W2)9^5y4W2!0q4y4g2)9^5y4#2!0n7b7g2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4W2!0m8c8g2!0n7y4g2y4Z5k6h3I4D9b7$3!0V1k6g2!0q4y4W2)9^5z5g2!0m8y4#2!0q4z5q4!0m8x3g2)9^5b7#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
ShellCode2的功能其实和ShellCode1差不多,主要是负责再次更新下载新的ShellCode3来执行。ShellCode3则由一段LoadPE代码和一个头部信息被摧毁的恶意dll模块组成,其功能主要是加载该模块运行。
准备完所需API后,ShellCode3首先申请一段内存来拷贝恶意dll模块,从下图可见其PE头部信息被大量抹除,只保留导入表、重定位表等必要的定位信息,但是数据目录原导出表位置存放了OEP以及OEP所指向的4字节内容(用于校验)。
LoadPE代码根据导入表重构IAT表、修复重定位,再简单校验OEP处4字节代码之后就开始从OEP执行恶意dll模块代码了。
程序首次运行会写注册表项SOFTWARE\\\\Classes\\\\CLSID\\\\{2B53F0A7-3238-4b4d-8582-E53618739C90}\\LockData,此时并不展开行为。
当程序再次运行并且发现LockData中的日期和当前日期不同时,便展开行为。
过程中还有一些进行环境检测,检测虚拟机、常用分析工具
检测环境通过之后首先获取当前浏览器进程名称,并根据不同的浏览器展开相应的改主页操作,支持浏览器包括360安全浏览器、360极速浏览器、qq浏览器、搜狗浏览器等主流浏览器。
感染分布
以下是此类软件在全国各地区的传播占比统计,可以看出软件主要分布在沿海各省份,其中广东为重灾区。
查杀与总结
这一系列软件主要是通过在常用软件工具中安插恶意代码的方式进行伪装,虽然目前只是在用户电脑中通过诱导或强制的方式来修改浏览器首页,但是软件作者可以随时替换服务器上的shellcode来达到控制用户电脑的目的,其风险性不言而喻。
目前360已针对此类样本全面查杀,为用户电脑保驾护航,同时也提醒广大用户安装软件时使用正规的下载渠道,避免上当受骗。
最后于 2019-1-1 14:17
被ylicmi编辑
,原因:
冰雪冬樱
