欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

史上反侦察力最强木马“隐魂”:撑起色情播放器百万推广陷阱

来源:本站整理 作者:佚名 时间:2017-08-11 TAG: 我要投稿

1 摘要
近期,360安全中心紧急预警了一款感染MBR(磁盘主引导记录)的“隐魂”木马,该木马捆绑在大量色情播放器的安装包中诱导网民下载,入侵后劫持浏览器主页并安插后门实现远程控制。据统计,短短两周内,“隐魂”木马的攻击量已达上百万次,是迄今传播速度最快的MBR木马。
与疯狂的肆虐趋势相对应的,是“隐魂”木马超高的反侦察能力和极其复杂的制作技术:
从感染方式上来说,不同于恶意程序直接写入MBR的木马,“隐魂”入侵后选择了关机回调的方式伺机启动。电脑关闭前一刻是不少安全软件的监管盲区,“隐魂”就是趁这个空挡植入磁盘底层。同时,它还启动了多达5个白利用文件,以此与安全软件进行对抗。
从攻击手段上来说,“隐魂”木马使用了多个漏洞组合,这是在以往MBR木马中前所未见的。其中,于2015年曝光的老版本Adobe提权漏洞威力格外惊人,它能绕过不少安全软件直接在内核中执行任意代码,是黑客攻击的一个大杀器。
从反侦察能力上来说,“隐魂”可以说是迄今为止的集大成者,它的写入过程完全依靠驱动,不会留下任何落地驱动文件;它会通过RPC远程调用的方式创建进程,木马源头很难被追溯。更值得一提的是,“隐魂”的执行过程十分复杂,在每次写入动作之前,都会小心翼翼地检测电脑上是否存在网络抓包工具、进程监控工具、调试器、反汇编工具、虚拟机等,如果存在上述情况之一,就会即刻停止感染执行,很大程度上避免了被安全研究者逆向追踪。
“隐魂”的活跃量已经直逼暗云系列木马,复杂性和查杀难度则创造了史上新高。目前,360安全卫士已经率先拦截查杀了该木马,反病毒专家经过紧急分析,终于抓到了“隐魂”的狐狸尾巴,以下是对该木马的详细技术分析。
2 感染分析
2.1 加载图片
该安装包为一个播放器,带有一定播放功能,可能为二次打包的。
在运行该安装包后,会调用加载读取 释放出来的JPG图片。
验证图片完整性:

图1
然后将图片末尾数据拷贝到内存

图2
解密前数据为:

图3
判断进程调试信息后 异或0x93解密出代码:

图4
判断调试器信息代码为:

图5
2.2 ShellCode1
为异或 0x93后代码  代码大小为0x2d4。
异或后代码为:

图6
对应代码为:

图7
找Kernel32基地址

图8
而后申请内存 准备执行第二块ShellCode 大小为0x5800。

图9
调用第二块ShellCode:

图10
2.3 ShellCode2
入口处代码为:

图11
填充导入表 并检测内核调试器是否开启:

图12
检测内核调试:

图12(1)
对应结构体为:

图13
然后查找导入表中unzGetCurrentFileInfo64 挂钩:

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载