php挂马进击技巧_大年夜型挂马团伙擒狼进击分析及溯源申报

7月13日，360安全卫士检测到一起网站广告位挂马事宜,大量网络广告涌现集体挂马，广告内容以同城交友等诱惑信息为主，预警为“擒狼”木马攻击。
我们通过对全体挂马攻击的剖析溯源创造，这个木马紧张功能是锁定浏览器的主页并带有远程掌握后门,作者通过木马谋取暴利，是一起范例的黑产行为。

该木马通过漏洞实行,安装做事和驱动,通过驱动锁定浏览器主页,做事实现自启动并将自身注入系统进程.连接C&C下载配置和插件,个中一个插件挟制淘宝客的推广ID来实现流量变现,不用除还有其他插件实现静默安装等更多的黑产行为.

在剖析过程中我们创造,利用漏洞传播仅仅是该木马的个中一种推广办法,但仅仅是这一种推广办法,在7月13日一天内,360安全卫士就拦截了3万多次攻击.因此,我们有情由相信此木马该当有一个弘大的安装基数和日活量,才能使木马作者坚持稳定的盈利,支持其连续开拓。

第二章 运行效果

木马实行后,全程静默安装,没有任何提示,重启打算机后,做事和驱动被加载,主页被锁定.

第三章 漏洞利用

这次挂马攻击紧张是利用的Kaixin exploit kit(挂马攻击包),是近年来比较生动的挂马组合攻击包，也是目前已公开拓现的海内唯一一个专门供应挂马攻击的做事，该挂马攻击包会稠浊利用多个Java、Flash和IE漏洞进行挂马，这次攻击利用的较新的漏洞紧张是针对Edge 浏览器的CVE-2016-7200/ CVE-2016-7201漏洞，针对Flash的CVE-2016-4117漏洞，针对IE浏览器的CVE-2016-0189漏洞。

黑客通过一些网站的广告位嵌入含漏洞的网页,勾引用户点击.

如果不慎点击这些广告位就可能触发带漏洞攻击的页面，如CVE-2016-0189漏洞

（https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0189）：

如果此时受害者是一台没有打补丁的机器，就会触发相应漏洞，开始下载木马并实行：

第四章 技能细节

Dropper

流程图

Dropper程序运行后，在内存中解密恶意代码，动态得到系统API，末了流程转移到注入代码流程。

注入程序在首次启动时将rsrd节中加密的数据解密并存储到注册表中,随后考试测验注入svchost程序，开释白名单文件Acset.dat，将acset.dat设置为重启后重命名为sens.dll,更换掉系统的System Event Notification Service做事,将自身写入sens.lang文件,随后联网发送统计信息.

在系统重启后，系统System Event Notification Service做事模块指向白名单插件sens.dll，白名单插件加载被开释的sens.lang启动注入程序，注入程序注入svchost并且hook ZwOpenFile，hook写入的代码中包含有创建线程，当svchost打开文件时候利用创建线程函数启动注入的代码。

此时被注入的svchost开释并安装驱动文件，驱动加载后删除驱动文件,随后将驱动模块指向微软官方的mlang.dll。

末了svchost将workdll注入services同时hook ZwMapViewOfSection，当services调用ZwMapViewOfSection函数时通过CreateThread函数使workdll开始事情。

细节:

首先提升权限，将当提高程权限提升为SeDebugPrivilege，随后作者为了避免程序被剖析进行调试器检测。

检测windbg和ollydbg以及pchunter。

检讨是否处于调试状态。

判断参数是否精确，从文件rsrd节解密数据，用Zlib库解压数据后得到以下文件。

创建注册表4d36e965-e325-11ce-bfc1-08002be10318目录，添加InstallName、LastDeleteData、LocalizedInfo、LowerLogoData项。

个中LastDeleteData包含锁主页驱动, workdll, 配置文件等.

为了担保开机自启动，通过延时删除更换系统dll，设置dll开机启动,考试测验注入svchost程序。

首先遍历进程找到要注入的系统进程，申请空间注入代码。

由于通过远程线程调用启动注入代码随意马虎引起杀毒软件监控，以是恶意程序hook 了ZwOpenfile函数，当svchost打开文件时创建线程启动注入的程序。

注册延时更换文件,将sens.dll文件在系统重启的时候更换为Acset.dat文件,设置注册表 \"大众HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SENS\Start\公众 使sens.dll开机启动。

设置开机启动系统System Event Notification Service做事

为了担保程序成功运行，如果系统进程无法注入，则程序自己创建dllhost进程注入。

随后通过HTTP向http://tj.xinyu88.com/tongji.php?userid=CCC555&mac=${MAC}&osver=${OSVER}&a=${INSSTATE}发送统计信息。

在重启系统之后，sens.dll被更换为Acset.dat文件，范例的运行白名单加载恶意程序办法，Acset调用LoadLibrary加载sens.lang文件，即CCC555.exe本身,随后启动注入程序注入svchost并且hook ZwOpenFile来启动注入代码。

被注入的svchost开释驱动文件，文件名称为dump_{随机做事}.sys，为了躲避查杀，dump_后面的部分利用系统现有做事名，利用msbpdrv_tsp~.inf文件安装驱动。

作者为了避免sys文件被直接创造引起疑惑，加载驱动后将驱动文件更换为微软官方mlang.dll。

Workdll被注入services同时hook ZwMapViewOfSection，当services调用ZwMapViewOfSection函数则通过CreateThread函数使workdll开始事情。

驱动模块

驱动文件带有已经被吊销的数字署名,

获取配置文件，读取注册表指定位置“HKEY_CLASSES_ROOT\CLSID\{4d36e965-e325-11ce-bfc1-08002be10318}”中的LastDeleteData项获取配置信息

解密得到配置文件

锁主页配置:

后门配置

通过”InstallName”项,获取当前安装的做事和驱动文件的文件名

网络主机中的收藏夹

遍历收藏夹和”Desktop”上的“.lnk .url” 文件, 并提取 链接地址

初始化配置信息

判断延时删除项,检测做事启动项的状态,对做事进行守护

注册文件监听过滤器

文件增编削查时,都会记录到日志上

监控进程创建事宜

系统所有的进程创建,均会关照驱动,驱动会根据PID 掩护一个进程列表

创建进程事宜的回调

判断指定的进程,符合条件则注入DLL

申请内存,注入”WorkDll”, 后续事情交由Ring3完成

Workdll

Dropper启动后从注册表读取保存的workdll文件,把workdll注入到系统进程,workdll加载后将考试测验从本地加载缓存的配置文件.没有则从C&C下载新的配置

配置缓存路径为c:\windows\temp,文件名为~G{打算机名CRC32取反}.tmp,内容经由加密分段存放.

个中GlobalConfig配置内容为:

加载完配置后进入加载插件流程

和配置一样插件也有本地缓存,文件名为~TP112FA.tmp,内容为zlib压缩的dll文件

插件的Flag对应表:

从表中可以看出该模块具有后门的基本功能,包括删除文件,下载dll和exe,加载到进程等.

对付当前插件Flag为0x91,即 类型为DLL,加载到浏览器,数据为zlib压缩

加载插件模块

然后进入命令循环,每隔60秒连接做事器

连接C&C为 pzds1.thebestsites.in

淘宝客挟制插件

通过workdll下载的插件CED566ED.rar是一个淘宝客PID挟制插件,功能为检测到淘宝购物链接时,向浏览器注入JS脚本,把原来的淘宝客PID更换成配置文件中的PID.来达到盈利的目的.

读取配置中的pid列表

setJsForTaobao函数,设置js中的参数

Js脚本,来自从做事器下载的配置

针对淘宝设置js脚本

针对京东设置js脚本

从代码中可以看到插件还有更换HTML的功能,但是由于配置文件设置的是测试字符串,这项功能并没有触发.

html-replacing配置

第五章 对抗

在样本分析过程中碰着了大部分木马常见的对抗手段,包括反调试、反虚拟机、白利用，驱动隐蔽、注册表存储文件等，可见作者在免杀上面花费了不少韶光和精力.

l拼接API函数名称并动态加载

l通过检测鼠标位置来对抗虚拟机行为剖析

l白利用

利用合法带有数字署名的DLL文件加载木马DLL

l延时更换文件

利用MoveFileEx函数的MOVEFILE_DELAY_UNTIL_REBOOT模式实现系统重启时更换文件

l驱动文件隐蔽

驱动加载成功后,删除驱动文件,修正注册表,使指向的驱动文件为操作系统的白文件,这样在用户层就找不到加载的驱动文件.

l常见调试工具进程检测

l驱动模块中检测是否被调试

l驱动模块中检测是否被调试

只有未检测到安全类和其他锁主页的模块时,才会触发锁主页和淘宝客挟制的行为.

第六章 溯源

和 “生平锁页”的关系

在剖析过程中,我们创造样本和 “生平锁页”相似度极高,经详细比拟,确认CCC555.exe便是“生平锁页”的免杀版.

“生平锁页”官方网站普通版解释:

可以看到,普通版也有自动更新和后台管理功能.

免杀版解释:

在官网注册推广账号后,可以看到还有免杀版.

“生平锁页”的官网上作者提到是软件免费,并留有捐赠通道,给人的觉得是纯挚凭兴趣开拓.

但是当注册账号,登录管理平台后的页面里又说有其他办法盈利,显然前后抵牾.

根据前面的剖析,我们推测其所说的其他办法该当是淘宝客挟制.

而来自网友的反馈,确实有人在不知情的情形下中过此木马.

多个线索都证明”生平锁页”带有后门.具有静默安装和电商推广、淘宝PID挟制等行为.

利益链

结合多个数据,我们整理出一个“生平锁页”的利益链:

1.作者制作锁主页普通版木马通过官方主页推广,用户和推广者并不知道有后门,表面上通过锁主页的提成盈利,实在更大部分来自于后门插件的淘宝客盗取.

2.作者制作锁主页免杀版木马,针对有固定用户量的推广者,推广者可能利用下载站捆绑或网站挂马等办法实现推广,这些推广者该当知道软件带有后门,锁主页和后门插件盗取淘宝客的收益由推广者和作者共同分成.

普通版和免杀版比拟

Workdll导出函数

Workdll字符串比拟

Workdll解密函数

Workdll写注册表函数

驱动文件版本号比较:

驱动字符串比较

普通版和免杀版紧张差异

在剖析普通版样本过程中,我们创造C&C域名可以直接访问,可以直接看到淘宝客挟制的收益

经由查看js脚本中的连接,直接访问配置,返回下面的数据

个中 邮箱字段便是 生平锁页官网上的QQ邮箱

考试测验利用个中的密码登录免杀版的C&C做事器的VNC成功,

获取SVN的账号和密码,下载了2个库

在网站源码中,找到Mysql密码,得到免杀版的账号,日活等信息

php代码中有证据表明有淘宝PID挟制和推广链接ID挟制,免杀等行为.

网站源码中还有制造静默安装包的模块,这个功能是在http://120.24.47.99/做事器完成的

在这个做事器中就有渠道号CCC555的安装程序, 个中包含“后门”字样

配置文件:

和剖析的样本中的相同

做事器数据统计

普通版淘宝客盈利统计 newbe.in

数据从2016年5月8日开始

可以看到两个明显的峰值,分别是2016年11月11和2016年12月12,和电商的发卖旺季重合.这两天提身分离是88594和101675.

截止到2017年7月26日, 448天内累计点击量1173万,成交量42万,提成 219万元.

免杀版用户数统计

我们对免杀版所有用户数量进行了统计，结果如下：

个中我们剖析的样本CCC555.exe,即userid为16的用户数据刚好从7月13日暴增,和我们检测到的数据刚好吻合.

第七章 自检

用户可以通过手动检测查看是否中招:

注册表:

HKEY_CLASSES_ROOT\ CLSID\{4d36e965-e325-11ce-bfc1-08002be10318}

个中 InstallName不固定

HKEY_LOCAL_MACHINE\Software\Microsoft\COM3下新增了COMVersion项

COMVersion的值为机器ID和韶光戳

temp目录:

c:\windows\temp目录中:

网络:

每隔1分钟向 120.25.239.40或52.78.96.21的11900端口发送数据包

第八章 总结

经由前面的剖析,我们可以看出作者在这个项目上投入了大量的韶光和精力,独立实现了运用层、驱动以及管理平台,代码量比较大,该当是全职开拓.并且有自己的推广渠道,是一起打着免费锁主页的旗号通过后门来变现的黑产行为.

作者以为没有弹窗,不会影响终端用户的体验就不会被创造,就可以和推广者”达到彼此共赢”,闷声发大财了.法网恢恢疏而不漏,只要有恶意行为,总有被创造的一天.

目前,360网盾可以有效拦截此类网站挂马

360安全卫士拦截木马注入系统进程：

360追日团队（Helios Team）

360 追日团队（Helios Team）是360公司高等威胁研究团队，从事APT攻击创造与追踪、互联网安全事宜应急相应、黑客家当链挖掘和研究等事情。
团队成立于2014年12月，通过整合360公司海量安全大数据，实现了威胁情报快速关联溯源，独家首次创造并追踪了三十余个APT组织及黑客团伙，大大拓宽了海内关于黑客家当的研究视野，补充了海内APT研究的空缺，并为大量企业和政府机构供应安全威胁评估及办理方案输出。

已公开APT干系研究成果