欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

深蓝维护通道DBNT,堪称国内网吧版Fireball

来源:本站整理 作者:marssec 时间:2017-08-02 TAG: 我要投稿

Fireball最近火了,这类软件在国内并不稀奇,今天曝一个去年就监测到的网吧行业后门软件, 堪称网吧版Fireball.
软件信息
软件名称:
深蓝维护通道, 官方简称DBNT.
该软件主要用于网吧客户机系统维护 (安装系统补丁,更换壁纸,同步文件), 整体为C/S结构, Server(DBNT.exe/控制台.exe)运行在在网吧内网服务器, Client(DbntCli.EXE)运行在客户端. 对该软件多个不同版本的文件进行对比分析, 发现后门仅存在于8.3.x 以上版本.
后门概要
后门的基础组件为一个下载者DLL,其通过UDP / TCP向云端上报运行终端信息, 云端则会回复配置文件,其中包含压缩包URL, “下载者” 将压缩包下载并解压, 然后加载其中的DLL. 软件大部分功能使用AU3脚本编写, 对其组件之一c_Smss.a3x进行反编译(a3x文件是AU3脚本预编译后的文件) :
 

 
其代码逻辑为:将打包的下载者StatClient.DLL释放到CurrentDir + “/維护通道/data/c_kernel.dat”,并调用DLLOPEN加载.  (AU3的DLLOPEN即相当于LoadLibrary)
下载者DLL在不同版本安装包中文件名不同, 早期版本释放到 c_kernel.dat, 在官网目前最新版中释放后文件名为StatClient.dll .
该DLL并不直接存在于客户端, 而是被打包在服务端 Data/client/C_Smss.a3x.. 客户端DbntCli.exe启动后连接到服务端下载并加载c_Smss.a3x,  c_Smss.a3x加载DLL,  DllMain触发下载者代码的执行.
c_kernel.dat核心逻辑
获取系统信息: 系统版本, IE版本, MAC, IP,  Flash版本, 以及软件自身版本, 发送到云端Server:
 

数据协议头为0×20150801,发送前会将数据包加密,云端服务器域名为center.sLanquan.com, 服务端口为8000 , 目前域名指向: 116.28.63.219.
 

 
发送数据后等待server回复, 如果成功收到配置数据,则执行解密动作
 

 解密后的配置:
00B5BE88  ......?...r>stat
00B5BEC8 us v ="0"/>urlv="http://gg.icafedh.com/Auxili1.zip"/>ver v ="
00B5BF08 1.0"/>r>.
解析XML, 读取URL:
 

得到URL后, 会在URL路径后面附加字符串“.crc” , 形成新的URL : http://gg.icafedh.com/Auxili1.zip.crc,然后下载到临时文件. “.Crc”文件本质是个INI, 下载后会读取CRC字段以备校验, 然后再次生成随机文件路径, 开始下载http://gg.icafedh.com/Auxili1.zip.
 

 
 


 
 

 
下载的压缩包解压后:
 

 
c_kernel.dat会读取config.ini中的 dll_name 或exe_name, 并加载对应的DLL或创建exe. 目前云端server下发的压缩包中只启用了配置文件中的dll_name, 没有启用exe_name.
但从c_kernel.dat的代码中, 可以看出该后门开发时还考虑了下载并创建exe这种需求, 云端只需要在配置文件中加上exe_name, 并打包下发对应的exe即可.
 
 


 
压缩包中的Device.DLL加载后会继续展开其他行为.
分析device.dll
 根据PE里面的信息可知device.dll编译时间为 (GMT: Mon Jul 10 04:08:00 2017).
Device.dll!DllMain创建线程从资源段提取ID为101的DLL资源, 然后内存加载并遍历EAT, 获取内存DLL中AddTask函数地址然后调用.

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载