欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“隐魂”木马篡改主页分析:史上反侦察力最强木马的犯罪素描

来源:本站整理 作者:佚名 时间:2017-08-19 TAG: 我要投稿

1 摘要
首先,我们来进一步了解“隐魂”木马的反侦察能力和复杂性。
(1)隐蔽性极高:“隐魂”木马会通过挂钩磁盘底层驱动实现自我保护,普通的ARK工具或查杀类工具无法深入磁盘底层,难以有效检测到MBR被修改;同时,应用层代码在TimerQueue中调度,目前除了利用调试器进行反复测试外,根本没有其他方法能检测该系统触发机制;另外,内核LoadImage挂钩代码在Nt节的空白区域,这部分在未知内存区域执行的代码也是检测工具的一大盲区。
(2)对抗性极强:为了与检测工具及杀软对抗,“隐魂”使用签名和PDB文件名方式,禁止一系列驱动加载,即使加载成功相关功能函数也会被IAT挂钩。
(3)兼容性极高:“隐魂”是目前支持系统范围最广的MBR木马,从Windows XP到Win10X64位最新系统的均支持,兼容性远远超过2016年开始活跃的暗云Ⅲ木马。
其次,我们再来说一下“隐魂”木马在篡改主页时是如何清理犯罪现场的。
(1)声东击西:不同于直接在浏览器进程中添加参数的劫持方式,“隐魂”为了躲避查杀,采取了结束原浏览器进程——创建新的系统进程——再创建新浏览器进程的方式绕了个大圈才完成主页篡改。
(2)釜底抽薪:“隐魂”会把大多数杀软的正常挂钩全部抹掉,使得浏览器主页失去安全类软件的保护。
接下来,将从WindowsNt系统加载前 (BootKit) 、系统加载后(RootKit)、注入桌面进程explorer
改首页共三部分对木马的执行流程进行详细分析。
2 NT系统加载前
2.1 MBR部分
将自身代码拷贝到 0x600处执行。

图1
而后使用int 13 42扩展读功能读取0x1个扇区 到 0x7c00,
位置是由bp指定的。

图2
读取:

图3
而后跳转到 0x7c00处继续执行。

图4
跳转:

图5
并将自身代码再次拷贝到0x600处执行:

图6
这次相同位置连续读取 0x20个扇区:

图7
定位位置:

图8
读取20个扇区:

图9
然后将代码拷贝到 0x101000 大小为0x1400。

图10
而后跳转到 0x10100处执行:

图11
然后预留高端地址0x14 = 20KB页面  用来存放代码。

图12
将自身代码拷贝到高端地址:

图13
跳转到 0x9a400 处执行挂钩代码。

图14
然后挂钩int13中断:

图15
挂钩后:

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载