欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

另辟蹊径:Kuzzle木马伪装万能驱动钓鱼

来源:本站整理 作者:佚名 时间:2018-06-13 TAG: 我要投稿

近期,360核心安全团队监测到钓鱼网站大量传播主页劫持木马,诱导用户下载安装“万能驱动”软件后,偷偷在用户电脑上释放高隐蔽性的木马模块。通过深入的追踪,我们发现该劫持木马是Kuzzle木马团伙制作,目前看来他们不局限于使用bootkit方式来隐藏启动,本次监测到的木马结合社工和隐蔽的内核Rootkit技术试图突破杀软的防护。
传播过程
木马团伙专门用一个服务器来部署名为“万能驱动”的钓鱼网站,在上面放置诱导用户下载安装的链接。如下是该服务器使用的一个域名,该“万能驱动”网站页面高仿驱动精灵官网,实则是一个钓鱼网站,两款软件的名称和类型比较相近,极具迷惑性,木马团伙的仿冒意图明显。

图1
对该钓鱼网站的服务器进一步挖掘发现,该服务器使用多个域名来进行钓鱼,即钓鱼域名均指向同一服务器IP(222.***.51)。
钓鱼域名
rj.s****2.cn
rj.n*****c.cn
rj.b***x.cn
rj.q*********o.com
qd.e******6.cn
xp.l****0.com
win7.l****0.com
挖掘过程中发现,服务器首页为仿冒“驱动精灵”的官网钓鱼页面,此外服务器还部署了其他的钓鱼页面,均是仿冒常用电脑软件的下载页面,并且还会判断域名来控制返回给用户正常的或恶意的下载链接,进而提高其隐蔽性。

图2
上图页面是通过域名“qd.******6.cn”访问钓鱼服务器的“wnys.html”(万能钥匙下载页面),任意点击页面的位置将会弹出一个指向“百度”服务器的正常软件下载链接。然而,换一个域名访问相同的服务器页面如“http://rj.****2.cn/ wnys.html”,此时弹出的却是另外一个指向木马软件的下载链接。
从钓鱼网站下载的安装包是经过二次打包的程序,并且图标也做了欺骗性修改,一旦用户下载运行,就会先执行木马模块的释放流程,大概的运行流程如下图所示:

图3
样本分析
下面,我们从钓鱼网站下载的安装包开始,详细跟踪木马的感染过程。

图4
一、安装过程
首先,从静态看该安装包的大小比较大,原因是由于其在资源里包含了另外两个安装包文件,其中一个是正常的“驱动人生”安装包,另一个则是包含恶意模块的软件“FreeImage”。
双击安装包运行后,选择安装路径,然后点击下一步,首先样本会检测安全软件是否运行,如果用户电脑没有运行安全软件,则会直接偷偷安装恶意程序“FreeImage”,然后再运行正常的驱动人生程序,当用户看到驱动人生的安装界面时木马模块实际上已经安装完毕。
相反,如果检测过程中发现系统存在360安全卫士,就会弹出诱导信息,让用户手动关闭360安全卫士;如果不退出360安全卫士,就会反复弹出对话框直到用户放弃安装或者退出360安全卫士后进入上述安装流程。

图5
静默安装的恶意软件“FreeImage”是从开源项目改造而来,文件名为“FreeImage_292.exe”,以命令参数“-quiet”启动后就会释放恶意驱动模块“drvtmpl.sys”,并通过写注册表的方式直接注册该驱动服务。
为了使恶意驱动“drvtmpl.sys”优先于安全软件启动,恶意程序将驱动添加到“System Reserved”(系统保留)组,从ServiceGroupOrder的加载顺序可以看到“SystemReserved”组位于第一启动顺序,这样保证驱动最优先启动。
除了注册关键的驱动服务以外,“FreeImage”安装包还释放了一些驱动运行过程中需要用到的加密资源。

图6
至此安装包的主要工作就完成了,在用户重启电脑后,系统就会自动以优先于安全软件的顺序启动运行恶意驱动“drvtmpl.sys”来完成后续的任务。
二、“drvtmpl.sys”驱动
“drvtmpl.sys”驱动是一个加载器,驱动启动后先注册一个“LoadImageNotify”模块加载回调,在回调函数里完成主要的工作。其主要任务是自我隐藏,在内存解密并加载后续的恶意驱动模块:surice.*(x86和x64扩展名不同)。

图7
1、自我隐藏
drvtmpl.sys主要是通过挂钩内核注册表对象回调和磁盘读写回调来隐藏自身,下图是重启前后的注册表对比,发现重启系统后,驱动服务drvtmpl的内容发生变化,注册表项伪装成了一个USB扩展驱动,此时使用ARK工具的HIVE解析功能也无法还原真实注册表信息。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载