欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

管中窥豹---分析一个只抓中国肉鸡的DDOS团伙

来源:本站整理 作者:佚名 时间:2015-06-17 TAG: 我要投稿

 source:https://blog.malwarebytes.org/intelligence/2015/06/unusual-exploit-kit-targets-chinese-users-part-2/

最近,我们的研究人员发现了一个非常奇怪的exploit kit正在攻击中国的域名。在上一篇 文章 中,我们详细地讨论了这个exploit kit的运作方式,包括其感染途径,payload可执行文件,以及这个攻击工具采用了哪些手段来绕过奇虎360的检测。

在这篇文章中,我们会讨论这个exploit kit的木马。在VirusTotal 上,有很多关于这个木马的查杀记录。我们的研究员把这个木马命名为 “Trojan.Chinad” 或"Chinad"。

Chinad的木马文件:

notepad.exe (MD5: 5a454c795eccf94bf6213fcc4ee65e6d )

pic.jpg (MD5: 4e8639378d7a302c7474b5e4406dd7b4 )

image.png (MD5: 55c447191d9566c7442e25c4caf0d2fe )

5003.tmp (MD5: d6ce4b6db8407ca80193ede96d812bb7 ) – 真实名称, “Module_UacBypass.dll”

Notepad.exe (Chinad)

摘要

Notepad.exe ("Chinad") 是一个bot客户端。 这个二进制文件和image.png是 Chinad 木马的两个主要组成部分。

Chinad bot首先会请求远程服务器,然后根据接收到的命令在受害者的计算机上执行任务。虽然这个bot的主要目的是DDoS攻击,但是bot也能向自身注入任意shellcode。

Chinad木马的植入方式:CVE-2014-6332利用成功以后用FTP下载的方式植入

技术分析

可执行文件使用了UPX壳来减小体积,以便提升网络传输的效率。

UPX压缩的是一个纯净的Microsoft Visual C++可执行程序。

Chinad 首先会创建一个硬编码名称为"Global\3672a9586a5f342b2ca070851e425db6″的互斥量。接着,如果木马发现用户具有管理员权限,木马就会复制到System文件夹;否则,木马就复制到Appdata文件夹:

#!bash %windir%\System\Init\wininit.exe ("C:\Windows" being a typical value for %windir%) %appdata%\Microsoft\System\wininit.exe ("C:\Users\\Roaming" being a typical value for %appdata%) 

木马的维持方法:注册表启动项或者schtask.exe .比如:

#!bash C:\Windows\system32\schtasks.exe /create /F /sc onstart /tn Microsoft\Windows\Shell\Init /tr \C:\Windows\System\Init\wininit.exe\ /ru system 

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载