一、“蘇拉克”木馬簡介:
“蘇拉克”木馬是2015下半年來持續(xù)爆發(fā)的木馬,該木馬感染了大量的計(jì)算機(jī),其主要傳播釋放是直接在ghost鏡像中植入木馬,然后將ghost鏡像上傳到大量網(wǎng)站提供給用戶下載,此外,近期也發(fā)現(xiàn)該木馬的win8、win10版本通過oem激活工具植入用戶電腦中。由于該木馬的主要模塊名為“surak.sys”,且通過分析得知該木馬的項(xiàng)目名稱即為“surak”,因此將其取名“蘇拉克”木馬。
二、“蘇拉克”木馬特點(diǎn):
1、傳播渠道隱蔽,由于該木馬被直接植入到ghost鏡像中,用戶一安裝系統(tǒng)就自帶該木馬,而此時尚未安裝任何安全軟件,因此木馬的傳播過程完全不在監(jiān)控中。
2、影響用戶多,由于大量網(wǎng)站傳播該類ghost鏡像,且此類網(wǎng)站投入了大量推廣費(fèi)進(jìn)行推廣,普通用戶通過搜索引擎找到的鏡像下載站幾乎全是帶木馬的。此類鏡像涵蓋了“雨林木風(fēng)”、“深度技術(shù)”、“電腦公司”、“蘿卜家園”、“番茄花園”等主流ghost。
3、難以清除,由于木馬進(jìn)入系統(tǒng)時間比安全軟件早,掌握了主動權(quán),對其后安裝的安全軟件做了大量的功能限制,使其大量功能無法正常使用,如安全防護(hù)無法開啟、信任列表被惡意操作等,導(dǎo)致難以檢測和清除木馬。
4、對用戶電腦安全威脅大,“蘇拉克”木馬除了鎖定瀏覽器主頁獲利外,還會實(shí)時連接云端獲取指令,能夠下載其它木馬到本地執(zhí)行,給系統(tǒng)安全造成了極大的威脅。此外,針對64位系統(tǒng),該木馬還會修改系統(tǒng)內(nèi)核文件,使得64位系統(tǒng)自帶的驅(qū)動簽名校驗(yàn)、內(nèi)核防鉤子等安全機(jī)制全部失效。
QTBY4_YKJ_OM7FOXA8RGR%4.png (49.08 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:34 上傳
圖1. “蘇拉克”木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D
三、“蘇拉克”木馬行為分析:
“蘇拉克”木馬的功能主要分為4大模塊,即內(nèi)核Rootkit模塊、應(yīng)用層主體模塊、應(yīng)用層加載器模塊、應(yīng)用層上報模塊。模塊分工明確,可擴(kuò)充性強(qiáng),配置靈活,且所有的通訊都使用高強(qiáng)度加密算法加密(AES & RSA),該木馬有xp版、win7版、win8版、win10版,除xp版外其它版本又分為32位版本和64位版本,每個版本功能基本一致,以下以xp版本為例進(jìn)行分析,其它版本行為類似。
通過各個模塊分工協(xié)作,該木馬完成了主頁鎖定、云端控制、插件下載、對抗安全軟件等功能。
}_~MOXH%F~_M1}V$%)4T@%6.png (46.82 KB, 下載次數(shù): 6)
下載附件
保存到相冊
2016-1-21 17:35 上傳
1、啟動模塊行為:(MD5:a3c79b97bdea22acadf951e0d1b06dbf)
qidong32.dll的功能單一,其被注冊成系統(tǒng)組件,開機(jī)時隨系統(tǒng)啟動,由Explorer.exe進(jìn)程加載執(zhí)行。該文件被加載后首先判斷自己是否位于explorer.exe進(jìn)程或者regsVR32.exe進(jìn)程中,若是,則啟動system32\drivers\UMDF\boot.exe文件。該文件是木馬的主體文件,預(yù)置在帶毒的Ghost系統(tǒng)中。
3.png (18.66 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 17:38 上傳
圖3.
4.png (24.54 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:38 上傳
圖4.
2、主體模塊行為:(MD5:bf47d80de3852e7ef6b86ac213e46510)
Boot.exe文件是該木馬的主體模塊,主要負(fù)責(zé)定時從云端下載最新的配置信息及負(fù)責(zé)其它模塊的調(diào)度、插件下載、數(shù)據(jù)傳遞等。
1)運(yùn)行后首先從云端下載http://xp.xitongzhu.com/2.0xpFileList.dl文件,該文件使用AES加密,密鑰為“DownloadKey”,顧名思義該配置文件與下載相關(guān),解密后的該文件如圖5所示,主要包含要下載的文件列表、文件類型、本地存儲路徑等。
5.png (94.35 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:40 上傳
圖5.解密后的2.0xpFileList.dl
2)解析配置文件,并進(jìn)行相應(yīng)的下載,下載完成后根據(jù)類型進(jìn)行Load或者Exec。
6.png (5.37 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:41 上傳
圖6.
3)完成以上行為后,將下載成功后的文件路徑按一定格式存儲,并使用AES加密(密鑰:dl_encrypt)存儲在C:\Windows\System32\drivers\UMDF\dllist文件中,即插件列表。
7.png (20.11 KB, 下載次數(shù): 6)
下載附件
保存到相冊
2016-1-21 17:42 上傳
圖7. 存儲插件列表
4)下載http://xp.xitongzhu.com/2.0xpSurakConfig.cfg到內(nèi)存中,該文件是木馬的配置文件,下載后計(jì)算配置文件的MD5值,并與C:\Windows\System32\drivers\UMDF\hash\config中存儲的值進(jìn)行比較,以判斷配置文件是否更新,如果更新則將其傳給surak.sys。
8.png (19.95 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:43 上傳
圖8. 下載配置文件并比較MD5
5)該配置文件分為三部分,分別使用AES進(jìn)行加密,密鑰均為“ConfigEncryptKey”,解密后的單個配置信息結(jié)構(gòu)大致如圖9所示。
@0B{JCX)TSFKMY1)IOLWFG8.png (53.34 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:45 上傳
圖9. 配置信息數(shù)據(jù)結(jié)構(gòu)
6)配置文件對應(yīng)的木馬功能分別如下:
注冊表隱藏:阻止列表進(jìn)程訪問指定的注冊表路徑(圖10)
文件隱藏?cái)r截驅(qū)動加載:阻止列表進(jìn)程訪問指定文件,攔截指定驅(qū)動加載(圖11、13)
進(jìn)程隱藏三部分:當(dāng)列表進(jìn)程枚舉系統(tǒng)進(jìn)程列表時隱藏指定進(jìn)程(圖12)
10.png (37.82 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:50 上傳
圖10. 注冊表相關(guān)的配置信息、
11.png (230.71 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:50 上傳
、
圖11. 文件操作相關(guān)的配置信息
12.png (48.79 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:51 上傳
圖12. 進(jìn)程隱藏相關(guān)配置信息
13.png (39.22 KB, 下載次數(shù): 6)
下載附件
保存到相冊
2016-1-21 17:52 上傳
圖13. 阻止驅(qū)動加載的相關(guān)配置信息
7)解密完配置文件后,依次將其加密后傳遞給內(nèi)核surak.sys完成相應(yīng)功能。
14.png (94.03 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 17:53 上傳
圖14. 將配置信息傳遞給surak.sys
3、Rootkit模塊行為:(MD5:8bb5cdc10c017d0c22348d2ada0ec1dc)
1)掛鉤NtQuerySystemInformation函數(shù),對應(yīng)隱藏進(jìn)程功能。在win7等64位系統(tǒng)中,由于“蘇拉克”木馬patch了系統(tǒng)的內(nèi)核文件,因此掛鉤此函數(shù)也不會引起藍(lán)屏。
15.png (7.4 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 17:54 上傳
圖15.
2)注冊LoadImage回調(diào),通過此回調(diào)函數(shù),攔截指定sys文件加載,其攔截方式直接將DriverEntry初代碼改成返回指令。
16.png (36.34 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 17:56 上傳
3)注冊CmpCallback回調(diào),對應(yīng)注冊表隱藏功能。
17.png (9.82 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 17:57 上傳
圖17.
4)掛鉤IofCallDriver、IoCreateFileSpecifyDeviceObjectHint,對應(yīng)文件隱藏功能。
18.png (56.61 KB, 下載次數(shù): 3)
下載附件
保存到相冊
2016-1-21 17:58 上傳
圖18.
19.png (19.79 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 17:59 上傳
圖19. 在x64版本的系統(tǒng)中,為了能夠Hook內(nèi)核,系統(tǒng)的內(nèi)核文件被篡改
4、上報模塊行為:(MD5:595738d7ca9291a3d3322039bb4dc960)
tj.dll文件主要用于上報,其主要功能是收集機(jī)器信息、木馬版本信息、木馬配置信息等,使用RSA做非對稱加密,將信息上傳到服務(wù)端。
20.png (39.43 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 18:00 上傳
圖20.
5、木馬其它模塊(插件)行為:
1)ielock32.dll(MD5:fadb57ff6fbfaf5f7f09e83d0de4a2ed)用于鎖定瀏覽器主頁。該文件插入到explorer中,并通過掛鉤進(jìn)程創(chuàng)建函數(shù),以添加命令行的方式鎖主頁。
2)subooa.sys、suboob.sys、subooc.sys(MD5:e94faf79a7681b33b903cceb1580d7c4)這三個驅(qū)動文件都會被加載到內(nèi)核中,但只是一個空的工程,未見惡意代碼。
四、傳播渠道探索
“蘇拉克”直接植入到ghost系統(tǒng)鏡像中,其傳播渠道主要是通過推廣ghost系統(tǒng)傳播擴(kuò)散。從10月份以來,反病毒實(shí)驗(yàn)室監(jiān)控到大量的傳播帶毒鏡像的網(wǎng)站,此類網(wǎng)站一般偽裝成“系統(tǒng)之家”網(wǎng)站,并通過搜索推廣或者直接刷搜索引擎來使自身排名靠前。此外各大裝機(jī)相關(guān)的論壇,布滿了帶毒ghost系統(tǒng)的推廣帖,吸引大量網(wǎng)友上鉤。
21.png (77.66 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 18:01 上傳
圖21. 偽裝成系統(tǒng)之家的帶毒ghost下載站
22.png (20.48 KB, 下載次數(shù): 5)
下載附件
保存到相冊
2016-1-21 18:02 上傳
圖22. 通過廣告或者刷排名來使自己排名靠前
23.png (110.12 KB, 下載次數(shù): 4)
下載附件
保存到相冊
2016-1-21 18:03 上傳
圖23. 通過論壇發(fā)帖推廣帶毒ghost系統(tǒng)
結(jié)語
隨著安全軟件的普及和防護(hù)能力的強(qiáng)化,木馬想繞過安全軟件的防護(hù)深入用戶系統(tǒng)變得非常困難,因此黑產(chǎn)從業(yè)者們想方設(shè)法讓自己先于安全軟件進(jìn)入用戶的系統(tǒng),并借先入之機(jī)大肆破壞后來安裝的安全軟件,從而達(dá)到霸占用戶電腦并利用用戶電腦實(shí)現(xiàn)盈利的目的。近期,騰訊反病毒實(shí)驗(yàn)室對通過國內(nèi)各大搜索引擎找“ghost”、“ghost xp”、“ghost win7”等關(guān)鍵詞排名前10的ghost鏡像全部進(jìn)行下載安裝分析,發(fā)現(xiàn)90%以上的ghost鏡像都是帶有木馬的。管家在此建議用戶選擇正規(guī)渠道安裝操作系統(tǒng),通過下載ghost鏡像安裝系統(tǒng)雖然快速省事,但其安全性,確實(shí)很令人擔(dān)憂。
附錄:
目前已經(jīng)發(fā)現(xiàn)通過各種渠道推廣的帶毒ghost鏡像下載站列表,目前管家已攔截相關(guān)網(wǎng)站,大家下載相關(guān)文件時注意避開這些網(wǎng)站。
http://www.qcdzk.com
http://www.goodxitong.com
http://www.win879.com/
http://www.xitong365.com/
http://win7.xp1919.com/
http://www.goodxitong.com
http://www.tianph.com/
http://www.5jdg.com/
http://www.uylmf.com/
http://www.ghost666.com
http://xp.xitongzhjia.com/
http://win7.ylmf99.com/
http://www.gacrzm.com/
http://www.xitongbas.com/
http://www.jianyighost.net/
http://win7.win7xitong.com/
http://www.95fn.com
http://www.xyscai.com/
http://www.win716.com/
http://www.2356tv.com/
http://www.gacrzm.com/
http://www.ghost369.com/
http://www.xitonghaoyong.com/
http://www.windows66.com/
http://xt.xp508.com/
http://www.tianph.com/
http://www.5jdg.com/
http://www.uylmf.com/
http://www.ghost666.com
http://xp.xitongzhjia.com/
http://win7.ylmf99.com/
http://www.gacrzm.com/
http://www.xitongbas.com/
http://www.jianyighost.net/
http://win7.win7xitong.com/
http://www.95fn.com
http://www.sddiypc.com/
http://www.goodxitong.com/
http://www.101028.com/
http://www.5757sc.com/
http://www.ghost38.com/
|