“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户

一、概述

近期,火绒安然团队发明病毒团伙”隐匿者”进行了新的技巧进级,正在传播病毒”Voluminer”。该病毒经由过程暴力破解的要领入侵电脑后,会使用用户电脑挖取门罗币,并且在电脑中留下后门,病毒团伙可经由过程远程节制随时改动恶意代码,下载其他更具要挟性的病毒模块。该病毒还会经由过程内核级抗衡手段躲避安然软件查杀。

病毒暴力破解用户数据库入侵电脑后,会窜改电脑系统中的主向导记录(MBR),一旦重启电脑,即可履行病毒,并在系统内核空间运行恶意代码,之后将恶意代码注入到系统进程中(winlogon或explorer进程),终极恶意代码会下载后门病毒到本地履行。

今朝,后门病毒会下载履行挖矿相关病毒模块,挖取门罗币,但不扫除病毒团伙将来会推送其他病毒模块,发动更具要挟性病毒进击的可能性。

火绒安然团队曾曝光过该病毒制作组织”隐匿者”,经由过程对该其经久追踪,发明不停在生动中,该团伙可能由中国人组成或介入,并完全以取利为目的。是近年来互联网上最生动、提议进击次数最多、进击范围最广的黑客团伙之一。

与此前比拟,”隐匿者”本次传播的病毒样本所应用的技巧更深入底层,隐蔽性更强,也更不易被用户察觉。应用内核级手段对自身病毒代码在磁盘中进行自我保护,与安然软件抗衡,难以清除。并且加入远程节制功能,可以随时下载其他病毒模块。

相关文章:

《彻底曝光黑客”隐匿者” 今朝作歹最多的收集进击团伙》

https://www.huorong.cn/info/150097083373.html

二、病毒滥觞

经由过程对 “隐匿者”黑客组织的经久追踪,我们发明近期大年夜范围传播的病毒家族Bootkit/Voluminer与该黑客组织可能存在直接关系。病毒运行后会窜改磁盘MBR代码,在电脑重启履行病毒MBR代码后,会在系统内核空间运行恶意代码,之后将恶意代码注入winlogon或explorer进程(依据操作系统版本),终极恶意代码会下载后门病毒到本地履行。后门病毒现阶段会下载履行挖矿相关病毒模块挖取门罗币,但我们不扫除将来会推送其他病毒模块的可能性。

“隐匿者”平日会经由过程暴力破解连接用户谋略机中的RPC办事、数据库办事器等,经由过程这些要领入侵用户电脑进而履行其他恶意代码,详细进击要领与火绒在2017年7月宣布的《彻底曝光黑客”隐匿者” 今朝作歹最多的收集进击团伙》申报中所先容的进击要领完全相同。火绒所截获到与本次样真相关的进击行径,如下图所示:

进击行径

火绒在前期申报中,在枚举病毒进击行径时所应用的病毒行径日志原图,如下图所示:

前期申报原图

在火绒前期申报中所提到的黑客所常用的FTP办事器用户名及密码分手为test和1433,与本次所截获进击事故中黑客所应用的FTP办事器(ftp.ftp0118.info)相关信息相同。在”隐匿者”应用的FTP办事器地址中,我们发明down.mysking.info域名所指向的FTP办事器依然可以正常造访,办事器中寄放的病毒文件虽然与本次黑客应用的FTP办事器中不合,然则文件名却极其相似。FTP办事器寄放文件环境比较,如下图所示:

FTP文件环境比较图

除此之外,在本次截获的部分病毒样本说话信息为简体中文,与”隐匿者”申报中相同。进而我们可以初步判断,本次进击事故可能与”隐匿者”黑客组织存在直接关系。本次截获样本(SHA256:46527e651ae934d84355adb0a868c5edda4fd1178c5201b078dbf21612e6bc78)的说话信息,如下图所示:

病毒样本说话信息

三、样本分析

与隐匿者早期样真相比,近期在野进行传播的隐匿者样本病毒行径已经越来越繁杂,所应用的进击技巧也更为底层。例如本文所提到的病毒样本就会感染MBR,并对被窜改后的MBR代码进行保护,从而前进了对该病毒进行查杀的繁杂度。

Bootkit/Voluminer

Bootkit/Voluminer病毒运行后会直接写入病毒MBR代码,原始的MBR数据被病毒备份在磁盘的第二个扇区中。另外病毒代码肇端位置为第三个扇区,另外病毒代码(除MBR代码外)共占用54个扇区,因为内核平台版本不合(x86/x64),申报中阐发内容以病毒在Windows 7(x64)系统中的感染环境为例。被感染后的MBR代码数据,如下图所示:

[1] [2] [3] [4]下一页

被感染后的MBR代码数据

病毒MBR代码,如下图所示:

病毒MBR代码

病毒MBR代码运行后,会将第三个扇区后的恶意代码拷贝到0x8f000地址进行履行,恶意代码会在hook INT 15中断后,从新调用原始MBR履行正常的向导启动逻辑。当INT 15 中断被调用时,病毒代码会经由过程匹配硬编码的要领搜索BootMgr(startup.com)代码进行hook,被hook后履行的恶意代码代码会终极hook Bootmgr.exe 中的Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm。Hook INT15后履行的病毒逻辑,如下图所示:

Hook INT 15履行的病毒逻辑

BootMgr(startup.com部分)被hook后,在BootMgr.exe 加载时会继承履行下一步hook操作。Hook BootMgr.exe相关代码,如下图所示:

Hook BootMgr.exe相关代码

BootMgr.exe被hook后,Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm函数内代码环境,如下图所示:

被hook后的函数进口

Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm函数被hook后,被调用的病毒代码会在BootMgr.exe加载Winload.exe时hook OslArchTransferToKernel,为hook ntoskrnl.exe做筹备。相关代码,如下图所示:

Hook OslArchTransferToKernel相关代码

被hook后的OslArchTransferToKernel函数内代码,如下图所示:

被hook后的OslArchTransferToKernel函数代码

OslArchTransferToKernel被hook后履行的恶意代码会hook ZwCreateSection,并破坏ntoskrnl.exe中PatchGuard相关逻辑。相关代码,如下图所示:

Hook OslArchTransferToKernel函数后履行的恶意代码进口

首先,恶意代码会先经由过程函数名哈希值获取ZwCreateSection函数地址,再获取终极必要在内核态履行的恶意代码进口(malware_krnl_main_entry),然后获取hook ZwCreateSection后被调用的处置惩罚函数进口和相关信息(包括ntoskrnl基址、malware_krnl_main_entry函数进口、ZwCreateSection函数进口地址、被patch掉落的原始ZwCreateSection代码内容),着末改动ZwCreateSection函数进口代码,并将ntoskrnl中PatchGuard相关代码经由过程改动硬编码禁用掉落。相关代码,如下图所示:

Hook ZwCreateSection和破坏PatchGuard的恶意代码

被hook后的ZwCreateSection函数进口代码,如下图所示:

被hook后的ZwCreateSection函数进口代码

ZwCreateSection被hook后调用的恶意代码,首先会修复ZwCreateSection被patch掉落的代码内容,之后再将后续必要履行恶意代码(代码地址:0x946E6)经由过程MmMapIoSpace映射到内核态地址空间进行履行。相关代码,如下图所示:

ZwCreateSection被hook后调用的恶意代码

上述代码被调用后,会履行内核态恶意代码malware_krnl_main_entry,该函数内代码首先会根据函数名哈希获取所需的API地址。相关代码,如下图所示:

malware_krnl_main_entry代码

内核态主要恶意代码逻辑履行后,首先会创建线程看护回调,在回调中检测csrss.exe进程是否启动,在该进程启动后再继承履行后续恶意代码逻辑。相关代码,如下图所示:

线程看护回调中恶意代码逻辑

如上图所示,在检测到csrss.exe后,首先会考试测验感染MBR并将寄放恶意代码的扇区保护起来。经由过程过滤IRP的要领,在用户造访病毒向导代码所在扇区时,返回正常向导代码数据,前进病毒的隐蔽性。感染MBR相关代码,如下图所示:

上一页[1] [2] [3] [4]下一页

感染MBR并将原始MBR数据拷贝到第二扇区

恶意MBR及相关数据保护逻辑会保护磁盘前0x3E个扇区。相关代码,如下图所示:

恶意MBR及相关数据保护相关代码

之后在内核线程(malware_behav_entry)中会根据不合的操作系统版本对winlogon.exe或explorer.exe进行APC注入。WinXP注入explorer.exe,其他操作系统注入winlogon.exe,假如是Win10系统会再次考试测验hook Storport驱动工具的IRP回调。相关代码,如下图所示:

APC注入相关代码

被注入的病毒代码履行恶意逻辑主要参照从C&C办事器哀求到的设置设置设备摆设摆设文件,该文件开释到本地后路径为:%SystemRoot%\Temp\ntuser.dat。该文件被异或0×95加密过,在应用该文件时会对文件进行解密。解密后的ntuser.dat设置设置设备摆设摆设内容,如下图所示:

ntuser.dat设置设置设备摆设摆设内容

如上图,设置设置设备摆设摆设文件总体分为两个部分:main和update。main部分中的所有ip和网址用来下载后门病毒相关设置设置设备摆设摆设,update部分中的ip和网址用来更新ntuser.dat设置设置设备摆设摆设数据,哀求到的相关设置设置设备摆设摆设信息至今依然在持续更新。下载后门病毒设置设置设备摆设摆设信息cloud.txt的代码逻辑,如下图所示:

下载后门病毒设置设置设备摆设摆设信息

哀求到的设置设置设备摆设摆设信息中,除后门病毒下载地址(exe键名对应数据)外,还着名为url的设置设置设备摆设摆设项,该功能开启后会hook CreateProcessW挟制浏览器启动参数,但现阶段该功能尚未被开启。设置设置设备摆设摆设信息,如下图所示:

设置设置设备摆设摆设信息

恶意代码会经由过程上图中的下载地址,将后门病毒下载到%SystemRoot%\Temp\conhost.exe目录进行履行。下载履行远程后门病毒相关逻辑,如下图所示:

下载履行后门病毒Backdoor/Voluminer

该病毒运行后,首先会开释寄放有C&C办事器列表的文件(xp.dat)至C:\Program Files\Common Files目录中,之后向C&C办事器列表中的办事器地址哀求xpxmr.dat文件,用于更新C&C办事器列表。哀求到的xpxmr.dat文件数据应用RSA算法进行过加密,进行解密后会从新写入到xpxmr.dat文件中,该文件为明文寄放。相关代码及数据,如下图所示:

更新C&C办事器列表

病毒在运行中会向C&C办事器哀求获取最新病毒版本号,当检测到存在新版本时,则会经由过程C&C办事器下载履行最新版本的病毒法度榜样。当后门病毒发明当前系统为64位系统时,还会向C&C办事器哀求64位版本的后门病毒到本地进行履行。相关代码,如下图所示:

哀求64位版本病毒

随后,病毒会应用地址列表中的C&C办事器地址下载挖矿所需的病毒组件,暂时我们发明会被病毒下载至本地病毒仅具有挖矿功能,但我们不扫除其将来会下载其他病毒模块的可能性。病毒鄙人载文件后,会对病毒组件进行md5校验,病毒组件的md5值会参考C&C办事器中的md5.txt文件内容。相关代码,如下图所示:

获取远程恶意代码模块

在病毒组件下载完成后,病毒会将挖矿相关的模块和设置设置设备摆设摆设文件开释到%windir%\debug目录中,随后开始挖矿逻辑。病毒开释挖矿设置设置设备摆设摆设相关代码,如下图所示:

开释挖矿设置设置设备摆设摆设相关代码

与前段光阴友商申报中所描述的该后门病毒比拟,病毒的恶意行径已经有了显着变更。在早期版本中,被配发到用户本地的后门病毒会被注册为系统办事(办事名为:Windows Audio Control),并在运行后会显示节制台窗口并且在病毒运行时会在窗口中显示运行日志,终极会下载履行挖矿病毒,中毒征象十分显着。而在现阶段版本中,被下发到用户本地的后门病毒隐蔽性已经有所前进,在病毒履行历程顶用户很难有所察觉。病毒挖取门罗币时应用的设置设置设备摆设摆设信息片段,如下图所示:

设置设置设备摆设摆设信息片段

经由过程上图中的门罗币钱包地址查询,我们发明该账户自2017年6月12日起开始有门罗币进账信息,至今已经共获取门罗币约2867个,合人夷易近币约200余万元。病毒应用的门罗币钱包信息,如下图所示:

上一页[1] [2] [3] [4]下一页

门罗币钱包信息

四、同源性阐发

除行径特性外,我们经由过程比较样本关键数据,还发清楚明了更多的同源性特性。比如在获取挖矿钱包信息时,文中样本与2017年隐匿者相关样本(SHA256:f37a0d5f11078ef296a7c032b787f8fa485d73b0115cbd24d62cdf2c1a810625)均会向C&C办事器哀求名为xmrok.txt的加密数据文件,且该文件均为AES算法加密。相关数据,如下图所示:

样本关键逻辑比较

除此之外,文中所提到的样本与2017年样真相同,挖矿功能均是应用xmr-stak开源代码。相关数据,如下图所示:

挖矿相关数据比较

经由过程比较阐发,我们发明与2017年样真相比,虽然终极恶意行径完全相同,但新样本在恶意逻辑中加入了云控功能,从而可以使样本可以根据黑客在C&C办事器中供给的恶意代码和相关设置设置设备摆设摆设信息对病毒进行调剂。除此之外,文中样本较2017年隐匿者样本还加强了对样本自身代码的保护,在后门病毒及其派发模块中大年夜量应用了VMProtect保护壳,加大年夜了安然阐发职员的阐发资源。壳信息,如下图所示:

壳信息

隐匿者黑客组织最早可以追溯至2014年(光阴依据请见前期申报),其进击伎俩多样,且至今依然在赓续进行改进和增强,已经成为对互联网情况要挟最大年夜黑客组织之一。火绒会继承对该黑客组织进行追踪,赓续网络和防御与该组织相关的所有安然要挟。

五、附录

文中涉及样本SHA256:

IOC:

上一页[1] [2] [3] [4]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包