07月13, 2015

新黑狐木马分析

摘要

黑狐木马是2015年感染量较大、版本众多的一支木马家族,也是杀毒软件重点监控追杀的对象。近期360互联网安全中心发现黑狐木马出现重大变化,此变种不再使用原先的关键字,但是替换系统关键文件等行为不变,因此称其为“新黑狐”。

新黑狐木马的主要特点是伪装和迷惑性强,用正常程序带后门的方式来掩护自己。其渠道推广能量极强,通过下载站、搜索引擎竞价排名等多个方式进行传播。此外,开机回写、启动删除、插入系统关键进程等手法也都是黑狐家族的基本特征。

新黑狐木马替换系统关键文件,清除难度较高。木马激活后会接受黑客云端控制,向受害者电脑安装后门插件保持长期控制,还会收集受害者信息,并且在替换的系统关键文件中设置了后门,黑客可以通过远程命令随时更新插件。

木马分析

以一款游戏捆绑的新黑狐木马为例:

0x00 新黑狐的伪装

新黑狐以最新和最流行的游戏为捆绑载体,主要是游戏玩家众多,传播量大。,虽然换了几层马甲,但是最后界面跟普通的游戏并无太多的差别。

新黑狐木马通过的是白文件+黑文件的方式来迷惑广大用户,白文件是两个有数字签名的正规游戏公司的安装包,运行后会出现游戏界面给木马打掩护,黑文件则负责释放和安装木马。

木马文件无数字签名:

1001

1002

木马下载的白文件,属于正规公司的游戏产品:

1003

1004

1005

程序运行之后的游戏界面,以此迷惑中招的游戏玩家:

1006

0x01 静默行为

木马程序启动,访问网络。地址如下:

2001

这是新浪的IP查询接口,获取IP地址和地址等信息,然后会获取用户的机器关键信息比如用户MAC地址,杀毒软件的安装情况,用户的操作系统版本,用户的屏幕分辨率等信息作为统计后台的信息:

2002

这里的统计后台显然是牧马人相关的

http://count.tianxinli.org/player/tj.php

同时我们还发现了这个域名相关的另外一个页面

2003

看来这个域名主要负责程序的安装统计以及更新:

2004

同时木马会检测自身是否被调试,检测到调试时,木马会激活自身的保护机制,退出程序:

2005

检测完受害电脑的以上信息之后,会生成一个日志文件(logEj.txt),记录了时间信息和程序运行的一些信息:

2006

2007

同时在程序成功注入系统进程后会生成另外一个日志:

2008

然后,木马就会开始下载文件,下的是一个白文件(nsin31.exe):

2009

2010

2011

这个文件会释放出自身的配置文件和tbu612.exe白文件,同时引导程序继续下载:

2012

2013

2014

木马文件等程序下载完毕之后就在系统临时目录下生成一个tmp.exe文件

2015

2016

这个文件实现了木马的核心功能替换系统关键文件,后文会有详解。

通过进一步的分析,我们发现程序会先产生临时文件(yrd.tmp),然后通过命令行来实现临时文件替换系统文件

2017

2018

2019

这里说明下:

takeown/f “c:\windows\system32\sens.dll”

takeown/f*/A/RTakeown命令用于以重新分配文件所有权的方式允许管理员重新获取先前被拒绝访问的文件访问权。/f参数作用在于指定文件名或目录名模式。

Icacls c:\windows\system32\sens.dll /grant administrators:F Icacls指显示或修改自由访问控制列表 (Dacl) 上指定的文件,并指定目录中的文件应用于存储的 Dacl。 F – 完全访问权限

对c:\windows\system32\sens.dll 取得完全访问权限

sens.dll 是系统服务“System Event Notification”调用的动态链接库文件 System Event Notification 的作用是跟踪系统事件,通过以上的操作,主要目的就是为了在系统中不留下日志文件。

通过继续的追踪发现yrd.tmp最终会被替换成cscdll.dll。

0x02 后患无穷

上面提到,木马文件等程序下载完毕之后就在系统临时目录下生成一个tmp.exe文件,

经过分析之后确认这个程序的主要功能就是篡改系统关键文件cscdll.dll

3001

3002

在这里我们可以看到木马先删除缓存文件,然后修改cscdll.dll,然后系统进程自动恢复了cscdll.dll,但是此时的cscdll.dll已经是木马释放的文件(来自于yrd.tmp),就这样木马成功的把系统文件替换了,真正的系统原始文件则变为tempdll.dll被放到了临时文件目录中了。

显然以上新黑狐木马文件所做的操作最终目标就是替换系统文件。经过分析,替换后的文件跟原始系统文件有着很大区别。

首先,入口点代码明显不同了:

3003

其次,被替换后的文件,可以远程接受命令下发新的插件,这对于用户来说面临极大的风险。

3004

最后,该dll还具备了通过文件读写操作任意的系统文件的功能:

3005

注入系统之后,木马程序会继续连接网络,与count.tianxinli.org继续保持连接

3006

根据这个信息,我们就可以找到牧马人的相关信息:

3007

这个最近注册的域名显然是木马的控制用的域名。

由于牧马人并没有激活后续的插件安装下载,我们的分析只能至此结束。

木马查杀

针对新黑狐木马的传播渠道和攻击方法,360严密监控并第一时间进行拦截查杀,可以全面消灭此黑狐家族的新一代变种:

3008

同时建议网友们在下载游戏安装包后,注意查看文件数字签名。如果文件没有真实有效的数字签名,不要轻易点击运行,最好直接访问游戏官网重新下载。

本文链接:http://blogs.360.cn/post/theblackfox2.html

-- EOF --

Comments