39期報告匯總
安天發(fā)布《利用‘白加黑’繞過檢測的遠控分析》報告
近日,安天追影小組通過威脅感知平臺發(fā)現(xiàn)一個遠控樣本,經(jīng)分析該樣本與前段時間國內(nèi)知名果粉社區(qū)威風(fēng)網(wǎng)被掛馬事件的木馬同源。該樣本通過“白加黑”的方法繞過檢測,運行過程中會釋放一個帶有數(shù)字簽名的白文件和一些加密文件,并通過棧溢出的方式來實現(xiàn)注入,最終達到遠控的目的。
分析過程
釋放階段
此階段主要是釋放一些白文件以及一些加密的數(shù)據(jù)文件,其中Config.dat是加密的黑文件,t1.dat跟域名相關(guān),science.exe是個關(guān)鍵文件,其是9158旗下產(chǎn)品中的升級程序,而DDVCtrlLib.dll、DDVEC.dll是其需要引用的庫文件。
釋放文件截圖
隨后樣本帶參運行science.exe文件,參數(shù)很長,主要是加密后的shellcode,可以觸發(fā)棧溢出來執(zhí)行代碼。最后樣本通過批處理來自刪除。
注入階段
觸發(fā)溢出的地方是vsprintf函數(shù),由于沒有校驗傳入的參數(shù)的長度導(dǎo)致棧溢出。溢出成功后,通過覆蓋返回地址,跳入存放shellcode的地方開始執(zhí)行,shellcode的主要功能是解密Config.dat黑文件,然后加載運行,該樣本主要是創(chuàng)建服務(wù)來自啟動,然后啟動服務(wù),自己結(jié)束退出。
服務(wù)啟動后,又通過觸發(fā)棧溢出來執(zhí)行shellcode,該樣本主要是創(chuàng)建傀儡進程svchost,然后注入惡意代碼,至此,遠控模式悄然開啟。
遠控階段
樣本根據(jù)計算機名組成字符串來創(chuàng)建互斥體,收集用戶電腦上的敏感信息,如盤符、處理器、內(nèi)存、殺軟等。
根據(jù)t1.dat解密出需要連接的IP:192.168.1.122,然后連接獲取指令,經(jīng)分析該遠控的主要功能包括:獲取磁盤信息、屏幕截取、錄音、反彈cmd、運行PE文件、關(guān)機、重啟、注銷、自刪除、聯(lián)網(wǎng)下載文件、彈出消息、鍵盤記錄、獲取剪貼板內(nèi)容等。
綜上所述,此遠控為了躲避殺軟的查殺使用了第三方白文件的漏洞來達到惡意代碼執(zhí)行的目的,溢出后又把惡意代碼注入svchost系統(tǒng)及進程中執(zhí)行,然后連接遠端獲取控制指令。由于磁盤中可執(zhí)行程序都是白文件,導(dǎo)致大部分殺軟都無法識別,但安天追影產(chǎn)品依然可以通過其惡意行為將其檢出為惡意樣本。