分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

密室内的枪声!“双枪2”木马感染过程实录

前言

去年7月,360安全中心曾率先曝光国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马——“双枪”。(http://www.freebuf.com/articles/web/140113.html)今年3月初,360安全中心发现“双枪”新变种开始出没,并从其感染行为入手,进行了一次全面分析。 与此前爆发的“双枪”木马类似,“双枪2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双枪2”使用了VBR、MBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。 与此前不同的是,新变种“双枪2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如设置了封闭的案发环境,对中招电脑进行了一次“密室枪杀”。 以下是对“双枪2”感染过程的详细分析。

安装包过程

1.1初始化配置

用户提供的样本安装包,安装包是带渠道号的,运行这个安装包后就会从网上下载一个DLL文件内存执行,下面是下载DLL文件并内存加载执行的流程: 安装包入口函数: Clipboard Image.png
图1 该函数主要为获取ChannelId 并且设置上: Clipboard Image.png
图2 从文件名中获取: Clipboard Image.png 图3 而后设置到注册表中,后续服务器通信,打点回传都会用到该数据。 Clipboard Image.png 图4 设置上: Clipboard Image.png 图5 而后调用下载DLL的函数: Clipboard Image.png 图6

1.2读取解析服务配置

格式化通信数据: Clipboard Image.png 图7 而后加密数据发送给服务器: Clipboard Image.png 图8 然后下载解析服务器返回的配置文件,服务器有判断客户端IP的,测试北京的IP返回空数据: Clipboard Image.png 图9 解析配置文件: Clipboard Image.png 图10