【木马分析】史上反侦察力最强木马“隐魂”:撑起色情播放器百万推广陷阱

https://p4.ssl.qhimg.com/t012d06048380b0dd41.jpg

1 摘要

近期,360安全中心紧急预警了一款感染MBR(磁盘主引导记录)的“隐魂”木马,该木马捆绑在大量色情播放器的安装包中诱导网民下载,入侵后劫持浏览器主页并安插后门实现远程控制。据统计,短短两周内,“隐魂”木马的攻击量已达上百万次,是迄今传播速度最快的MBR木马。

与疯狂的肆虐趋势相对应的,是“隐魂”木马超高的反侦察能力和极其复杂的制作技术:

从感染方式上来说,不同于恶意程序直接写入MBR的木马,“隐魂”入侵后选择了关机回调的方式伺机启动。电脑关闭前一刻是不少安全软件的监管盲区,“隐魂”就是趁这个空挡植入磁盘底层。同时,它还启动了多达5个白利用文件,以此与安全软件进行对抗。

从攻击手段上来说,“隐魂”木马使用了多个漏洞组合,这是在以往MBR木马中前所未见的。其中,于2015年曝光的老版本Adobe提权漏洞威力格外惊人,它能绕过不少安全软件直接在内核中执行任意代码,是黑客攻击的一个大杀器。

从反侦察能力上来说,“隐魂”可以说是迄今为止的集大成者,它的写入过程完全依靠驱动,不会留下任何落地驱动文件;它会通过RPC远程调用的方式创建进程,木马源头很难被追溯。更值得一提的是,“隐魂”的执行过程十分复杂,在每次写入动作之前,都会小心翼翼地检测电脑上是否存在网络抓包工具、进程监控工具、调试器、反汇编工具、虚拟机等,如果存在上述情况之一,就会即刻停止感染执行,很大程度上避免了被安全研究者逆向追踪。

“隐魂”的活跃量已经直逼暗云系列木马,复杂性和查杀难度则创造了史上新高。目前,360安全卫士已经率先拦截查杀了该木马,反病毒专家经过紧急分析,终于抓到了“隐魂”的狐狸尾巴,以下是对该木马的详细技术分析。 


2 感染分析

2.1 加载图片

该安装包为一个播放器,带有一定播放功能,可能为二次打包的。

在运行该安装包后,会调用加载读取 释放出来的JPG图片。

验证图片完整性:

http://p5.qhimg.com/t0123e024864f208723.png

图1

然后将图片末尾数据拷贝到内存

http://p7.qhimg.com/t014614433d38f04611.png

图2

解密前数据为:

http://p6.qhimg.com/t0160b9f8b829f0f4fe.png

图3

判断进程调试信息后 异或0x93解密出代码:

http://p5.qhimg.com/t01a23a348eb4707db8.png

图4

判断调试器信息代码为:

http://p9.qhimg.com/t019a0dd782924c74dd.png

图5

2.2 ShellCode1

为异或 0x93后代码  代码大小为0x2d4。

异或后代码为:

http://p5.qhimg.com/t013be7554db28c0097.png

图6

对应代码为:

http://p0.qhimg.com/t0159c55ff2138b0142.png

图7

找Kernel32基地址

http://p2.qhimg.com/t016424e05318c10cec.png

图8

而后申请内存 准备执行第二块ShellCode 大小为0x5800。

http://p5.qhimg.com/t01e2172a6963855e2f.png

图9

调用第二块ShellCode:

http://p5.qhimg.com/t013377109deafb4269.png

图10

2.3 ShellCode2

入口处代码为:

http://p3.qhimg.com/t0192f9ac1e3fe46c10.png

图11

填充导入表 并检测内核调试器是否开启:

http://p1.qhimg.com/t01a94e720c0ab2704d.png

图12

检测内核调试:

http://p0.qhimg.com/t01c769e17b1191ddfc.png

图12(1)

对应结构体为:

http://p9.qhimg.com/t01a18ed81a04b0d7e9.png

图13

然后查找导入表中unzGetCurrentFileInfo64 挂钩:

http://p5.qhimg.com/t015e3b0cf586034fc8.png

图14

挂钩:

http://p5.qhimg.com/t01a0b49a467591af6d.png

图15

等安装包后续 解压文件时候触发获取执行机会。

http://p7.qhimg.com/t01cdd9f0e37e615741.png

图16

获取额外数据 为第三块ShellCode并比对hash值是否一致,

然后调用自身函数解密数据 并拷贝ShellCode3到内存:

http://p6.qhimg.com/t01454e443bf6535b28.png

图17

而后设置安装CID环境变量值 并 IAT挂钩CreateProcessW。

http://p5.qhimg.com/t01380b08622cc23207.png

图18

当安装进程创建时候 CreateProcessW IATHook被执行,恢复钩子 并执行第三块ShellCode。

http://p9.qhimg.com/t01520da75a873b74c5.png

图19

创建线程执行,并且对调试器隐藏线程创建,并将下载地址传入。

http://p3.qhimg.com/t0161bef7bbbf8e4bca.png

图20

执行入口点函数

http://p8.qhimg.com/t0164aee6560d4fdbca.png

图21

2.4 ShellCode3

ShellCode3为自定义的文件格式 类似于PE 自身实现文件导入表 重定位修正。

执行入口点:

http://p2.qhimg.com/t01a897721f75f931b4.png

图22

修正导入表:

http://p6.qhimg.com/t017a7b6fc306c0b237.png

图23

检测调试工具信息:

http://p8.qhimg.com/t013a3ad5a0c9442f08.png

图24

其中 IsKdDebuggerEnabled 依然为 KUSER_SHARED_DATA 结构标志KdDebuggerEnabled是否为0。

检测常用工具软件:

http://p5.qhimg.com/t01d2be3e9d4c4a9b72.png

图25

常用工具集合为  一旦发现便不再感染。

http://p5.qhimg.com/t019de083192a4a2608.png

图26

接着检查下是否已经被感染 防止再次感染,并且读取之前设置的CID环境变量信息

http://p2.qhimg.com/t0151dce1d2fdc5e41a.png

图27

调用网络相关函数下载之前的URL网址感染包

http://p3.qhimg.com/t0193841e6f1968f22c.png

图28

而后准备执行下载下来的第四块ShellCode。

申请执行内存:

http://p0.qhimg.com/t01b9766b5628a7ad6a.png

图29

执行函数

http://p5.qhimg.com/t01548d270ef99eb168.png

图30

2.5 ShellCode4

执行:

http://p1.qhimg.com/t01ece189ae70a4ef09.png

图31

然后解压里面带的相关资源:

http://p6.qhimg.com/t013ac02e0af0e23028.png

图32

解压执行先对文件进行校验:

http://p8.qhimg.com/t0143fcdcc9c8e0a528.png

图33

通过节点名查找资源信息:

http://p2.qhimg.com/t011b4628e7933c6bd3.png

图34

而后申请执行空间。尽可能申请高端地址, 将第一块执行文件(ShellCode5) 大小为 0x23810拷贝入内存准备执行 :

http://p5.qhimg.com/t010d514616920923b4.png

图35

执行

http://p5.qhimg.com/t01ec75312987143ee2.png

图36

2.6 ShellCode5

ShellCode5 为公共部分代码 用于加载NE文件 和修正导入表 ,并设置好参数

参数通过共享内存设置的。

获取Kernel32基地址 并且获取

LoadLibraryA,GetProcAddress,VirtualAlloc,VirtualFree函数地址。

http://p8.qhimg.com/t01f69c7f29e4c8d5d6.png

图37

获取函数地址:

http://p0.qhimg.com/t01a8427b0839e88b40.png

图38

Hash算法:

http://p1.qhimg.com/t01fa70dc21e8513d75.png

图39

而后申请执行内存 高端地址 为第六块Shellcode准备空间.

http://p1.qhimg.com/t01a01c78f3244a9589.png

图40

而后设置调用参数

http://p8.qhimg.com/t0147a917623174a403.png

图41

而后将NE文件入口点设置在堆栈上 等函数返回后就执行第六块ShellCode

http://p7.qhimg.com/t01edffe0bb51b08677.png

图42

2.7 ShellCode6

该部分模块主要为释放白利用模块 根据不同参数执行不同代码,

 会检测调试器 对抗虚拟机,并且利用字体加载漏洞来加载驱动。

入口点函数为:

http://p4.qhimg.com/t01cf7adcf52a5a59cb.png

图43

在入口点会检测SMEP是否启用 为后续执行代码做准备

http://p0.qhimg.com/t01f2ea476957716c20.png

图44

Win7以下系统忽略该标志

http://p3.qhimg.com/t015e37dc3c78b9e025.png

图45

然后进入白利用相关文件释放 函数,该函数会读取SessionId 获取调试标志一旦检测到被调试就退出。

http://p4.qhimg.com/t01fceecff4c70b53d1.png

图46

而后会读取系统信息,

配置文件是否忽略虚拟机标志。

http://p4.qhimg.com/t01417175fa538174a9.png

图47

判断虚拟机方法为:

http://p6.qhimg.com/t013c7d28831d09bb42.png

图48

具体实现为:

http://p0.qhimg.com/t0175c16b5b7b594802.png

图49

http://p6.qhimg.com/t01ca8a09883daf5ea7.png

图50

然后判断CPUID信息是否为这几类虚拟机。

http://p4.qhimg.com/t0174d52919b013a94c.png

图51

获取BIOS信息判断虚拟机

http://p7.qhimg.com/t0182b7b21ac528fcf6.png

图52

如果不是 则释放五个白利用中一个,将文件写到Appdata目录。

http://p6.qhimg.com/t01a1d814ae58547fa0.png

图53

而后调用 COM IShellWindows接口运行该白利用:

http://p6.qhimg.com/t017810d92097b3a11e.png

图54

启用该进程后 会加载白利用的DLL  该白利用DLL 又会创建线程以不同参数(参数还是通过共享内存设置)执行 ShellCode6:

http://p8.qhimg.com/t01bde31d2ff098ca36.png

图55

再次运行自身(该白利用文件):

http://p3.qhimg.com/t01c3d4e30d5b1457ae.png

图56

执行后将ShellCode6 的NE代码共享到新创建的白利用进程:

http://p0.qhimg.com/t013072c56978884bc4.png

图57

而后通过APC方式 执行该部分代码:

http://p6.qhimg.com/t015a9dd682cc0c8aa6.png

图58

然后创建rundll32进程 依然是执行ShellCode6,Rundll32命令行为:

http://p4.qhimg.com/t017bfc44bb5c4caa46.png

图59

依然通过 NtMapViewOfSection将Shellcode6执行代码共享到Rundll32

http://p4.qhimg.com/t012261f40a2db50e08.png

图60

直接通过 SetThreadContext修改EIP实现自身代码运行

http://p1.qhimg.com/t0199b0053031c07c94.png

图61

执行是ShellCode6

这次函数为:

http://p9.qhimg.com/t016c941d3fb0022955.png

图62

首先找到Null驱动的 FastIo 派遣函数表:

http://p8.qhimg.com/t0104a21d14184847cb.png

图63

找到NULL驱动入口点后通过特征搜到 FastIoDispatch 而后作为参数传入。

http://p5.qhimg.com/t01f4e17ae5542fc475.png

图64

而后执行  执行第七块ShellCode

http://p9.qhimg.com/t013e25119c897ff0cd.png

图65

2.8 ShellCode7

入口点创建线程并执行:

http://p4.qhimg.com/t01bfe1771c10738a0a.png

图66

线程函数为获取漏洞溢出资源信息  加载带有漏洞的 atmfd.dll 驱动 文件

http://p9.qhimg.com/t01d827798e728271cd.png

图67

而后调用 AddFontMemResourceEx 调用 加载 atmfd.dll 驱动文件:

http://p5.qhimg.com/t0128067ec534f96ad8.png

图68

触发漏洞函数为:

http://p5.qhimg.com/t0149aa0339fe400a9e.png

图69

覆盖前函数表:

http://p9.qhimg.com/t014cfdc0d413c203dd.png

图70

下写断点:

http://p7.qhimg.com/t01d2742dce950f5579.png

图71

而后函数表为:

http://p8.qhimg.com/t013515efc3db588151.png

图72

0x7ff6079b   该处函数为:

http://p9.qhimg.com/t0103339b59aa4edb08.png

图73

而后触调用读取函数直接发该ShellCode内核执行 为ShellCode8:

http://p0.qhimg.com/t01b44de484e09e199a.png

图74

2.9 ShellCode8

功能主要负责加载后面的 NE执行文件

获取Nt基地址:

http://p8.qhimg.com/t012786d5a771fda827.png

图75

而后获取相关函数地址 修正导入表 重定位:

http://p5.qhimg.com/t013594a014d2e67491.png

图76

将入口点作为参数传入  ExQueueWorkItem 执行。

2.10 ShellCode9

为驱动函数入口点  主要作用是接受应用层来的写磁盘驱动,加载并执行该驱动

获取NTLdr信息。

http://p8.qhimg.com/t0130b8866f3950f41d.png

图77

 而后创建设备名跟应用层交互:

http://p0.qhimg.com/t01095483de458fc2cf.png

图78

当应用层传来 0x220004  IO控制码时候。

http://p4.qhimg.com/t0105821503c215eafb.png

图79

QueueWorkItem加载该驱动:

http://p8.qhimg.com/t016a4821a23c4ab82a.png

图80

加载

http://p1.qhimg.com/t01c7c73d5207e66fcc.png

图81

修正 并加载篡改MBR驱动执行

http://p7.qhimg.com/t01f99c42525a467b53.png

图82

2.11 ShellCode10

创建设备名

http://p5.qhimg.com/t010b266c0c8006be3d.png

图83

注册DPC 注册关机回调  在最后一次关机回调中写入MBR:

http://p0.qhimg.com/t01388d302fa2da9f6d.png

图84

关机回调中直接发给磁盘底层设备:

http://p7.qhimg.com/t018f896add09677e4a.png

图85

设备信息为

http://p4.qhimg.com/t012be9aa02b5795248.png

图86

3 尾声

“隐魂”就像一个幽灵,所过之处不留任何痕迹。近段时间,MBR顽固木马的活跃性增高,它的查杀难度本就很高,如果配合多种反侦察和对抗技术,随时有可能形成爆发局势,危害将不亚于勒索病毒。

为了预防“隐魂”木马,360安全中心建议网友:应及时为包括Adobe在内的常用软件更新升级,避免黑客利用老版本软件的漏洞实施攻击;网络上流传的色情播放器大多夹带了木马病毒,切勿因一时贪恋而掉入桃色陷阱;同时,如果发现浏览器页面无故被篡改或锁定、电脑出现异常卡慢等情况,最好使用360安全卫士等软件进行查杀,以防“隐魂”通过远程控制对个人数据和财物造成更大的损失。

https://p2.ssl.qhimg.com/t016e663b0762332b89.png

图87

(完)