2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)?/span>

地方去 · 發(fā)表于 2016-1-21 18:04

一、“蘇拉克”木馬簡(jiǎn)介：
“蘇拉克”木馬是2015下半年來(lái)持續(xù)爆發(fā)的木馬，該木馬感染了大量的計(jì)算機(jī)，其主要傳播釋放是直接在ghost鏡像中植入木馬，然后將ghost鏡像上傳到大量網(wǎng)站提供給用戶下載，此外，近期也發(fā)現(xiàn)該木馬的win8、win10版本通過(guò)oem激活工具植入用戶電腦中。由于該木馬的主要模塊名為“surak.sys”，且通過(guò)分析得知該木馬的項(xiàng)目名稱即為“surak”，因此將其取名“蘇拉克”木馬。
二、“蘇拉克”木馬特點(diǎn)：
1、傳播渠道隱蔽，由于該木馬被直接植入到ghost鏡像中，用戶一安裝系統(tǒng)就自帶該木馬，而此時(shí)尚未安裝任何安全軟件，因此木馬的傳播過(guò)程完全不在監(jiān)控中。
2、影響用戶多，由于大量網(wǎng)站傳播該類ghost鏡像，且此類網(wǎng)站投入了大量推廣費(fèi)進(jìn)行推廣，普通用戶通過(guò)搜索引擎找到的鏡像下載站幾乎全是帶木馬的。此類鏡像涵蓋了“雨林木風(fēng)”、“深度技術(shù)”、“電腦公司”、“蘿卜家園”、“番茄花園”等主流ghost。
3、難以清除，由于木馬進(jìn)入系統(tǒng)時(shí)間比安全軟件早，掌握了主動(dòng)權(quán)，對(duì)其后安裝的安全軟件做了大量的功能限制，使其大量功能無(wú)法正常使用，如安全防護(hù)無(wú)法開(kāi)啟、信任列表被惡意操作等，導(dǎo)致難以檢測(cè)和清除木馬。
4、對(duì)用戶電腦安全威脅大，“蘇拉克”木馬除了鎖定瀏覽器主頁(yè)獲利外，還會(huì)實(shí)時(shí)連接云端獲取指令，能夠下載其它木馬到本地執(zhí)行，給系統(tǒng)安全造成了極大的威脅。此外，針對(duì)64位系統(tǒng)，該木馬還會(huì)修改系統(tǒng)內(nèi)核文件，使得64位系統(tǒng)自帶的驅(qū)動(dòng)簽名校驗(yàn)、內(nèi)核防鉤子等安全機(jī)制全部失效。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖1. “蘇拉克”木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D
三、“蘇拉克”木馬行為分析：
“蘇拉克”木馬的功能主要分為4大模塊，即內(nèi)核Rootkit模塊、應(yīng)用層主體模塊、應(yīng)用層加載器模塊、應(yīng)用層上報(bào)模塊。模塊分工明確，可擴(kuò)充性強(qiáng)，配置靈活，且所有的通訊都使用高強(qiáng)度加密算法加密（AES & RSA），該木馬有xp版、win7版、win8版、win10版，除xp版外其它版本又分為32位版本和64位版本，每個(gè)版本功能基本一致，以下以xp版本為例進(jìn)行分析，其它版本行為類似。
通過(guò)各個(gè)模塊分工協(xié)作，該木馬完成了主頁(yè)鎖定、云端控制、插件下載、對(duì)抗安全軟件等功能。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

1、啟動(dòng)模塊行為：（MD5：a3c79b97bdea22acadf951e0d1b06dbf）
qidong32.dll的功能單一，其被注冊(cè)成系統(tǒng)組件，開(kāi)機(jī)時(shí)隨系統(tǒng)啟動(dòng)，由Explorer.exe進(jìn)程加載執(zhí)行。該文件被加載后首先判斷自己是否位于explorer.exe進(jìn)程或者regsVR32.exe進(jìn)程中，若是，則啟動(dòng)system32\drivers\UMDF\boot.exe文件。該文件是木馬的主體文件，預(yù)置在帶毒的Ghost系統(tǒng)中。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖3.

圖4.
2、主體模塊行為：（MD5：bf47d80de3852e7ef6b86ac213e46510）
Boot.exe文件是該木馬的主體模塊，主要負(fù)責(zé)定時(shí)從云端下載最新的配置信息及負(fù)責(zé)其它模塊的調(diào)度、插件下載、數(shù)據(jù)傳遞等。
1）運(yùn)行后首先從云端下載http://xp.xitongzhu.com/2.0xpFileList.dl文件，該文件使用AES加密，密鑰為“DownloadKey”，顧名思義該配置文件與下載相關(guān)，解密后的該文件如圖5所示，主要包含要下載的文件列表、文件類型、本地存儲(chǔ)路徑等。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖5.解密后的2.0xpFileList.dl
2）解析配置文件，并進(jìn)行相應(yīng)的下載，下載完成后根據(jù)類型進(jìn)行Load或者Exec。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖6.
3）完成以上行為后，將下載成功后的文件路徑按一定格式存儲(chǔ)，并使用AES加密（密鑰：dl_encrypt）存儲(chǔ)在C:\Windows\System32\drivers\UMDF\dllist文件中，即插件列表。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖7. 存儲(chǔ)插件列表
4）下載http://xp.xitongzhu.com/2.0xpSurakConfig.cfg到內(nèi)存中，該文件是木馬的配置文件，下載后計(jì)算配置文件的MD5值，并與C:\Windows\System32\drivers\UMDF\hash\config中存儲(chǔ)的值進(jìn)行比較，以判斷配置文件是否更新，如果更新則將其傳給surak.sys。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖8. 下載配置文件并比較MD5
5）該配置文件分為三部分，分別使用AES進(jìn)行加密，密鑰均為“ConfigEncryptKey”，解密后的單個(gè)配置信息結(jié)構(gòu)大致如圖9所示。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖9. 配置信息數(shù)據(jù)結(jié)構(gòu)
6）配置文件對(duì)應(yīng)的木馬功能分別如下：
注冊(cè)表隱藏：阻止列表進(jìn)程訪問(wèn)指定的注冊(cè)表路徑（圖10）
文件隱藏?cái)r截驅(qū)動(dòng)加載：阻止列表進(jìn)程訪問(wèn)指定文件，攔截指定驅(qū)動(dòng)加載（圖11、13）
進(jìn)程隱藏三部分：當(dāng)列表進(jìn)程枚舉系統(tǒng)進(jìn)程列表時(shí)隱藏指定進(jìn)程（圖12）
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖10. 注冊(cè)表相關(guān)的配置信息、
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

、
圖11. 文件操作相關(guān)的配置信息
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖12. 進(jìn)程隱藏相關(guān)配置信息
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖13. 阻止驅(qū)動(dòng)加載的相關(guān)配置信息
7）解密完配置文件后，依次將其加密后傳遞給內(nèi)核surak.sys完成相應(yīng)功能。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖14. 將配置信息傳遞給surak.sys
3、Rootkit模塊行為：（MD5：8bb5cdc10c017d0c22348d2ada0ec1dc）
1）掛鉤NtQuerySystemInformation函數(shù)，對(duì)應(yīng)隱藏進(jìn)程功能。在win7等64位系統(tǒng)中，由于“蘇拉克”木馬patch了系統(tǒng)的內(nèi)核文件，因此掛鉤此函數(shù)也不會(huì)引起藍(lán)屏。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖15.
2）注冊(cè)LoadImage回調(diào)，通過(guò)此回調(diào)函數(shù)，攔截指定sys文件加載，其攔截方式直接將DriverEntry初代碼改成返回指令。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

3）注冊(cè)CmpCallback回調(diào)，對(duì)應(yīng)注冊(cè)表隱藏功能。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖17.
4）掛鉤IofCallDriver、IoCreateFileSpecifyDeviceObjectHint，對(duì)應(yīng)文件隱藏功能。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖18.

圖19. 在x64版本的系統(tǒng)中，為了能夠Hook內(nèi)核，系統(tǒng)的內(nèi)核文件被篡改
4、上報(bào)模塊行為：（MD5：595738d7ca9291a3d3322039bb4dc960）
tj.dll文件主要用于上報(bào)，其主要功能是收集機(jī)器信息、木馬版本信息、木馬配置信息等，使用RSA做非對(duì)稱加密，將信息上傳到服務(wù)端。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖20.
5、木馬其它模塊（插件）行為：
1）ielock32.dll（MD5：fadb57ff6fbfaf5f7f09e83d0de4a2ed）用于鎖定瀏覽器主頁(yè)。該文件插入到explorer中，并通過(guò)掛鉤進(jìn)程創(chuàng)建函數(shù)，以添加命令行的方式鎖主頁(yè)。
2）subooa.sys、suboob.sys、subooc.sys（MD5：e94faf79a7681b33b903cceb1580d7c4）這三個(gè)驅(qū)動(dòng)文件都會(huì)被加載到內(nèi)核中，但只是一個(gè)空的工程，未見(jiàn)惡意代碼。
四、傳播渠道探索
“蘇拉克”直接植入到ghost系統(tǒng)鏡像中，其傳播渠道主要是通過(guò)推廣ghost系統(tǒng)傳播擴(kuò)散。從10月份以來(lái)，反病毒實(shí)驗(yàn)室監(jiān)控到大量的傳播帶毒鏡像的網(wǎng)站，此類網(wǎng)站一般偽裝成“系統(tǒng)之家”網(wǎng)站，并通過(guò)搜索推廣或者直接刷搜索引擎來(lái)使自身排名靠前。此外各大裝機(jī)相關(guān)的論壇，布滿了帶毒ghost系統(tǒng)的推廣帖，吸引大量網(wǎng)友上鉤。
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖21. 偽裝成系統(tǒng)之家的帶毒ghost下載站
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖22. 通過(guò)廣告或者刷排名來(lái)使自己排名靠前
2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)? src=

圖23. 通過(guò)論壇發(fā)帖推廣帶毒ghost系統(tǒng)
結(jié)語(yǔ)
隨著安全軟件的普及和防護(hù)能力的強(qiáng)化，木馬想繞過(guò)安全軟件的防護(hù)深入用戶系統(tǒng)變得非常困難，因此黑產(chǎn)從業(yè)者們想方設(shè)法讓自己先于安全軟件進(jìn)入用戶的系統(tǒng)，并借先入之機(jī)大肆破壞后來(lái)安裝的安全軟件，從而達(dá)到霸占用戶電腦并利用用戶電腦實(shí)現(xiàn)盈利的目的。近期，騰訊反病毒實(shí)驗(yàn)室對(duì)通過(guò)國(guó)內(nèi)各大搜索引擎找“ghost”、“ghost xp”、“ghost win7”等關(guān)鍵詞排名前10的ghost鏡像全部進(jìn)行下載安裝分析，發(fā)現(xiàn)90%以上的ghost鏡像都是帶有木馬的。管家在此建議用戶選擇正規(guī)渠道安裝操作系統(tǒng)，通過(guò)下載ghost鏡像安裝系統(tǒng)雖然快速省事，但其安全性，確實(shí)很令人擔(dān)憂。
附錄：
目前已經(jīng)發(fā)現(xiàn)通過(guò)各種渠道推廣的帶毒ghost鏡像下載站列表，目前管家已攔截相關(guān)網(wǎng)站，大家下載相關(guān)文件時(shí)注意避開(kāi)這些網(wǎng)站。
http://www.qcdzk.com
http://www.goodxitong.com
http://www.win879.com/
http://www.xitong365.com/
http://win7.xp1919.com/
http://www.goodxitong.com
http://www.tianph.com/
http://www.5jdg.com/
http://www.uylmf.com/
http://www.ghost666.com
http://xp.xitongzhjia.com/
http://win7.ylmf99.com/
http://www.gacrzm.com/
http://www.xitongbas.com/
http://www.jianyighost.net/
http://win7.win7xitong.com/
http://www.95fn.com
http://www.xyscai.com/
http://www.win716.com/
http://www.2356tv.com/
http://www.gacrzm.com/
http://www.ghost369.com/
http://www.xitonghaoyong.com/
http://www.windows66.com/
http://xt.xp508.com/
http://www.tianph.com/
http://www.5jdg.com/
http://www.uylmf.com/
http://www.ghost666.com
http://xp.xitongzhjia.com/
http://win7.ylmf99.com/
http://www.gacrzm.com/
http://www.xitongbas.com/
http://www.jianyighost.net/
http://win7.win7xitong.com/
http://www.95fn.com
http://www.sddiypc.com/
http://www.goodxitong.com/
http://www.101028.com/
http://www.5757sc.com/
http://www.ghost38.com/

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)

2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)?/a>

2016重裝系統(tǒng)謹(jǐn)防“蘇拉克”木馬來(lái)?yè)?/span>