欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Mint木马变种泛滥,伪装“抖音电脑版”肆虐网络

来源:本站整理 作者:佚名 时间:2018-12-12 TAG: 我要投稿

0×1 前言
近期,金山毒霸安全实验室通过“捕风”威胁感知系统的数据监控,发现一款名为“西瓜看图”的恶意软件。该软件主要通过“荒野行动电脑版”、“抖音电脑版”等虚假下载器进行传播。该虚假器运行后,实际安装的是“蜻蜓助手”安卓模拟器,并由“蜻蜓助手”推广安装“西瓜看图”木马远控软件。该软件通过云控手段,进行主页劫持、图标推广、软件推广、广告弹窗等恶意行为。由于该木马会在用户磁盘中创建“Mint”的目录,保存云控插件,所以我们特此命名为“Mint”木马。
0×2 传播和推广
Mint木马的传播路径:

虚假下载器运行界面:

该虚假下载器无签名,无版本信息,点击“立即安装”会下载运行“蜻蜓助手”,而不是用户预想的“荒野行动网易版”。
“蜻蜓助手”安装完毕后,会默认勾选“西瓜看图”(Mint木马家族的母体),用户如稍有不慎点击“立即启动”就会被植入木马软件。

0×3 模块和流程
功能模块
Mint 云控木马主要为6个功能:信息收集,广告弹窗,软件推广,图标推广,主页劫持,更新变异。
其中,广告弹窗,软件推广,图标推广和主页劫持的具体内容,均由云端进行配置,通过下发文件的形式,在本地解析执行;
更新变异,则保证云控载体不断更新和变形,以躲避杀软查杀和更新功能。
功能模块图:

信息收集,主页劫持,广告等相关URL信息:

执行流程
Mint木马利用傀儡进程注入、BHO机制(参考https://en.wikipedia.org/wiki/Browser_Helper_Object)、UPX加壳、数据加密、服务劫持等技术,使整个执行过程具有很高的隐蔽性。
执行流程:

0×4 影响和分布
通过“捕风”威胁感知系统的监控到,Mint木马家族8月中旬开始爆发;9月中旬活跃达到峰值,感染用户量达5W/天;10月之后活跃降低,近期又逐渐活跃起来。

受感染的用户中,占比最多的是1123变种(71.23%),其次是1122变种(17.11%)
(因为变种众多,为了方便起见,我们暂且用文件名后面的版本号表示变种名称。如url包含的文件名XiGuaViewer_1123.exe,表示1123变种)
变种分布图:

0×5 细节分析
环境检测
Mint母体通过注册表、文件和进程关系,检测是否沙箱/虚拟机/调试/杀软环境,是否浏览器或下载器启动;不是的话才执行恶意代码,否则只调起安装界面。

沙箱/虚拟机环境检测:

调试工具和安全监控软件的检测名单:

配置下拉
云控载体解密模块配置文件Ver.ini:

获取到解密后的内容:

整理出模块配置文件Ver.ini各字段的含义如下:

接着云控载体进行字段解析并更新插件模块和推广配置文件,将核心模块core.dat解密并注入到傀儡进程中执行:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载