您好、欢迎来到现金彩票网!
当前位置:棋牌游戏娱乐平台 > 外壳进程 >

“百合一”盗号木马分析报告

发布时间:2019-05-25 16:04 来源:未知 编辑:admin

  近日,360互联网安全中心捕获到一枚窃取国外用户个人信息的木马程序。木马的主要功能是盗取用户计算机中超过一百种敏感信息,包括浏览器中自动保存的账号密码,facebook账号密码,本机登陆账号密码等,是真正的“大合集”盗号木马。

  据分析,该木马外壳使用c#语言编写,经过两次代码解密操作后完成“金蝉脱壳”,执行最终的功能代码。在木马的运行过程中,关键代码只在内存中执行,并没有“落地”,这大大增强了该木马的隐蔽性。360安全卫士的专家提示广大用户,木马盗取浏览器自动保存的账号密码等功能很有可能威胁到国内用户,当遇到不明的程序切勿盲目双击运行。目前,360安全卫士可以对该木马实现全面拦截。

  不好意思刚才乱入了一些奇怪的东西,现在我们说回木马本身。木马程序的执行过程分三步走。第一步是外壳程序触发按钮加载事件执行对应的处理函数,处理函数解密代码执行;第二步是解密另一段代码并注入同名进程执行;第三步是主要功能的执行,获取用户敏感信息。程序执行流程图如下所示。

  程序首先创建一个radiobutton控件,并为该按钮控制设置加载事件处理程序,一旦按钮被加载就会执行处理程序。在创建按钮完成之后,作者调用ResumeLayout方法和PerformLayout方法来更新布局并显示布局,而显示布局时会加载按钮,处理程序也因此被调用。

  然后从内存中读取解密key并通过CreateDecryptor方法创建解密密钥,用于下一步的解密操作。

  通过dump工具可以提取出解密后的pe文件,是一个名为OlympicWorker的可执行程序,拥有一个和奥运会有关的名称又在奥运期间出现,不禁让人浮想联翩。

  接着程序调用Load方法将解密后的PE文件加载进内存,并确定入口点,从入口点开始执行。这一步生成的PE文件没有“落地”,直接在内存中执行。

  首先通过创建互斥体判断是否只运行一个实例,如果已存在其他实例则退出进程。

  接着根据自身配置信息来确定要注入的程序,如果参数为0则注入“csc.exe”,参数为1则注入“svchost.exe”,参数为2则注入“applaunch.exe”,参数为3则注入自身。

  确定注入目标后,程序先创建挂起的进程,然后开始进行注入操作,将代码分块写入注入目标内存中。

  注入的代码是完整的PE文件,程序完成注入操作之后调用delegate方法恢复被挂起的进程,执行注入的代码。

  第二层外壳程序完成注入操作之后,程序主要功能才得以开始执行。该部分程序使用UPX进行加壳处理,并在每一个函数执行功能的指令前插入若干个字节的混淆指令,用于躲避静态分析。

  除了插入混淆指令之外,程序对于需要使用的敏感API采用加载动态链接库获取地址后调用的动态调用方式,这样做也是为了躲避杀软的静态检测。

  程序进行提权操作,使程序拥有“SeImpernatePrivilege”权限,以保证程序最后通过枚举方式爆破管理员密码成功后可以成功登陆系统。

  除此之外,程序还尝试获得诸如“SeDebugPrivilege”等其他木马运行时所需的权限,此处不再详细说明。

  在结束提权操作后,程序利用COM创建用于存储信息的流,锁有从用户计算机盗取的信息都会存放在流中,这也保证在程序进行盗取信息的过程中不会有任何文件产生,也不会造成任何文件的修改,以此来躲避杀软的动态追踪。

  2.获取计算机中安装的软件。值得一提的是,程序利用了一个巧妙的方法来获取计算机中安装的软件,即通过获取系统卸载面板对应的注册表项中的信息来获得所安装软件的信息。

  4.通过检索注册表或检索文件路径等方式获得计算机中与FTP Client相关或带有FTP 上传功能的软件的信息,涉及的软件有几十款。

  5.利用COM获取包括IE,Chrome等多款浏览器网页历史记录和自动保存的账号密码,并对这些账号密码进行解密,和所在网址的哈希值一一对应,存入数据流中。由于IE,Chrome等主流浏览器都是以明文或者弱加密方式存储用户账号密码,因此浏览器自动保存的账号密码极其不安全,建议用户莫要允许浏览器保存一些较为重要的账号密码。

  7.获得存储在本地的用户电子邮箱信息。除了诸如outlook等主流邮箱的信息的盗取,程序还盗取一些小众邮箱的用户信息。

  9.尝试使用不同密码登录计算机,用来进行爆破的密码多为国外用户较常使用的弱口令,一旦爆破成功则保存密码,方便后续对计算机进行入侵。

  完成信息的获取之后,程序将保存在数据流里的用户敏感信息发送到地址“folder/gate.php”。至此,该盗取用户信息的木马完成了所有的任务,结束进程并删除自身,不留任何痕迹。

  虽然该木马无论从获取信息的内容还是目标都是针对外国用户,但获取信息量之大无不让人骇然,而国内用户也不应该掉以轻心,其中盗取浏览器自动保存的账号密码等功能还是会威胁到国内用户计算机的安全。在远控木马泛滥的如今,用户可能对远控木马有较高的警惕性,但同样也会忽视诸如此类盗取用户信息的木马的存在。但无论如何,提高警惕是最为重要的。在遇到来历不明或者功能不明确的程序时切忌盲目双击运行,如果一定要运行请在确认杀软开启的情况下运行,以确保用户计算机的安全能够得到保障。

http://nanosong.com/waikejincheng/20.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有