|
0x1 概述 腾讯御见威胁情报中发现一款名为“护眼小秘书”的软件携带后门程序,表面上看是一个可调整屏幕亮度、对比度的小工具,也看起来能够“正常”卸载,但实际在安装过程中会释放一个drksecx.sys的“秘眼”后门驱动,即使用户卸载“护眼小秘书”,后门驱动还会驻留在用户电脑上。 该后门程序的驻留相当隐蔽,普通用户即使发现也难以完全清除,比如利用工具尝试删除驱动程序文件时会被重定向到删除系统正常文件,删除注册表的操作也会因后门程序的保护功能而操作失败,腾讯御见威胁情报中心建议已安装“护眼小秘书”的用户使用电脑管家进行查杀清理。 护眼小秘书界面 据腾讯御见威胁情报中心监控数据显示,“护眼小秘书”木马在2017年开始出现,在17年10月达到传播高峰,而近期又开始活跃,影响网民超过3万。 传播趋势 该木马在全国各地均有分布,广东、山东、河南中毒电脑位居前三。 地区分布 护眼小秘书木马具有以下特点: 1.释放后门驱动程序drksec.sys,锁定浏览器主页; 2.后门程序从C2服务器接收指令、或下载其他病毒木马; 3.后门驱动程序drksec.sys会拷贝正常系统文件drmkaud.sys(Windows音频解码器)的文件信息到自身模块; 4.后门驱动程序有较强的自保护能力,可防止用户简单删除或修复注册表。若尝试利用第三方工具手动删除,会因为文件重定向的原因,误删除正常系统文件; 0x2 详细分析 护眼小秘书其传播渠道主要是通过下载器推装,也没有正规的官方网站提供下载,安装包运行后会在安装目录下释放木马驱动drksec.sys, 该驱动加载运行后会解密dll并注入系统进程,完整的执行流程如下 木马执行流程图 2.1.安装文件分析 秘书主程序启动后会判断系统版本为x86或x64,并拷贝主程序下的对应的Rootkit备份文件到系统Driver目录中启动,x86拷贝drksec.sys到Driver目录,x64拷贝drksecx.sys。 安装文件 虽然安装完后提供了卸载程序,运行卸载程序后整个安装目录也被删了,但是驱动木马drksec.sys 并没有被卸载删除,被设置为开机自启动。为了更具迷惑性,Rootkit取名与系统drmkaud.sys名相近,还会将drmkaud.sys文件时间戳信息拷贝到自身模块上。 如果直接拷贝drksec.sys 会被重定向到系统文件drmkaud.sys(为微软音频解码器文件) 重定向到系统文件 拷贝设置时间戳 2.2木马驱动分析 驱动装载后,通过在DriverEntry获取当前进程EPC,暴力搜索0x3000字节查找System字符串并记录其偏移地址。目的为后期在Miniflter中使用此偏移值对System进程操作进行过滤放行。 DriverEntry暴力遍历EPROCESS 病毒对自身在内核中做了3层保护: 分别为内核文件占坑 ——通过占坑文件Handle来防止其它进程打开驱动文件 内核注册表修复 通过不断的对驱动自身服务信息的重写,防止其服务被删除 内核文件重定向 ——通过注册Minifilter文件过滤系统,接管IRP_MJ_CREATE,IRP_MJ_SET_INFORMATION 将文件操作重定向到系统白文件。 重定向操作后,假如有第三方工具删除病毒驱动文件,可能导致误删被定向的系统白文件。 内核文件Handle占坑保护 内核注册表回写保护 MiniFilter文件过滤系统CreatePreOperation重定向到drmkaud.sys 病毒通过从待注入进程动态获取PEB,动态搜索LDR链的方式查找注入使用API,并以插入UserModeCallback的方式将一段内存中解密出来的DLL数据注入到系统进程中,最终执行导出函数wndbegin。 通过待注入进程的PEB遍历LDR链最终动态获取3环使用函数 插入UserModeCallback ShellcodeArguments[0]内容解密算法 函数keUserModeCallback完成了从Ring0到Ring3的转换,该函数内部会调用KiUserCallbackDispatcher,KiUserCallbackDispatcher内部调用call [eax+edx*4]。 其中eax即KernelCallbackTable, edx即UserModeCallback中传入的参数ApiIndex, 这时进入到了shellcode执行,shellcode首先调用VirtualProtect修改dll内存属性为可执行,然后调用dll导出函数dllentrypoint进行初始化工作。 最后调用导出函数wndbegin, 在这个函数里创建了一个线程,完成主要的恶意功能。 修改dll内存属性为可执行 调用dll的入口函数dllentrypoint完成dll的初始化工作 木马通过注入explorer.exe, hook进程创建函数CreateProcess,如果创建的进程是浏览器进程,则修改启动参数进行主页劫持(主页劫持是该病毒的主要赢利手段) 主页劫持 2.3 内存解密DLL分析 从内存中解密出来的dll Pdb信息:F:\svn_local\form\20yansys\origin\Release\origin.pdb,由于该文件不落地,无文件名,暂取名origin.dll。 该dll有两个导出函数dllentrypoint及wndbegin,dllentrypoint完成dll的初始化工作,wndbegin创建了一个线程完成主要的恶意功能。 导出函数 接收数据小于0x400 接收数据大于0x400 创建ProgramData\Microsoft\Help目录 0x3 安全建议 到正规软件官方网站下载使用软件,尽量少用下载站、下载器下载,不少下载器都会进行违规推广或传播病毒 腾讯电脑管家可以防御该木马,已经中毒的用户可以使用闪电杀毒功能进行查杀清理 附录:IOCs MD5: 4f05946c42fdfdb563e887f0a41c20c7 c5e99f606d0c7bc4e7f7170efe310fea 65246d159353bc6fe75818c58348de09 fa4f898c28fe66d324c62ff3c99c1629 |
|
|
来自: AnonymousV脸 > 《手机电脑类知识的文章》
