02月25, 2016

说说那些偷鸡不成蚀把米的事儿

人心不足蛇吞象,人们经常想要这想要那,但如果心放的不正,难免偷鸡不成蚀把米。这次说说我们最近见到的两件事:

远控免杀360——说的跟真的一样

同事发现有人在某黑客论坛上发了一篇名为《[特征码免杀] 最新版远控Ghost RAT 过360 金山 管家 瑞星 百度》的帖子。
GhostRAT_BBS_01
GhostRAT_BBS_02
GhostRAT_BBS_03
看了之后感觉好慌张,赶紧下回来测试一下。以往来说,拿到这种远控生成器,应该是先运行起来生成一个远控客户端,然后再测试对远控客户端的拦截能力。然而令人匪夷所思的是这个样本下载回来之后运行,根本没看到任何供生成客户端的界面,于是只得分析了一下。
程序显示获取自身的文件句柄,然后循环的读取数据
0010_CreateSelf
0020_read
紧接着就是开始向%ProgramFiles%\bing目录下释放各种文件:
0030_释放文件
0031_目录
释放完成后便启动这个名为GoTop的主程序,然后……就没有然后了……这程序静悄悄的部署玩这一批文件之后便退出了……
0040_ShellExcute
而这个Gotop也再向服务器传送了我本机的一些基本信息用于统计之后,便启动了browser目录下的gotopbr开始欢乐的刷其流量来了~~
0051_rush
0050_rush
万幸作为信息安全从业者,测试必用虚拟机已经是一个习惯成自然的事情。而想想那些一心想得到一个免杀各大主流杀软的远控去控制别人机器的所谓“黑客”们……结果却成了别人的获利的工具,也是心疼……

外挂变身锁屏狗

无独有偶,还有一个朋友也跟我说了一个发在另一个论坛的事。只不过这次发的是一个游戏外挂,而且由于传播恶意程序已经被删掉了,截图看看标题就好了:
0060_帖子
找朋友要到了当时这人发的原始程序。跑起来看看,别说,还真是个外挂的意思:
0070_外挂
但暗地里还偷偷搞了点副业。显示在C盘根目录下释放了一个叫做ddr2.dll的文件:
0080_ddr2
而ddr2.dll又在system32下面创建了一个Base.ini的文件
0100_Base
再将这个看似是个配置文件的Base.ini直接运行了起来
0110_RunBase
Base.ini则简单粗暴的完全就是个下载者木马————下载&运行:
0120_downloader
而被下载回来的dvfsxf.exe则又要下载一个NetSyst96.dll来调用:
0141_DownNetSyst96Dll
可惜的是我还是晚了一步————可能是删帖让对方感觉到了什么,所以经把这个服务器给关闭了:
0142_Reset
但我们从论坛的回帖中还是可以直到当时他都做了些什么————一个典型的敲竹杠木马:
0150_locker1
0151_locker

做人别贪心

这种事情在我们看来其实很常见的,外挂、木马生成器、黑客工具……加带木马或者本身根本就是个木马的比比皆是。对方利用的就是你的贪心,想要不劳而获么?我给你工具,拿去用就好了————结果就是自己反而成了别人获利的工具而已。

本文链接:http://blogs.360.cn/post/pay_for_your_greedy.html

-- EOF --

Comments