“亂世”木馬家族分析報告
一、前言
“亂世”木馬家族的命名來源於木馬母體程式包含的“亂世英雄”、“亂世許可權”等特殊關鍵字,該家族的木馬形態變化多端、作案手法專業嫻熟,從今年起開始大肆地在國內傳播。360核心安全團隊對此持續追蹤,並獨家釋出“亂世”木馬家族系列的披露報告。
二、傳播溯源
經過深入分析和挖掘後發現,該系列木馬經常將自身偽裝成某類圖片或文件,木馬載體的圖示和檔名都極具誘導性,主要通過釣魚網站和IM工具如QQ、微信等來進行傳播。下圖所示是該家族木馬的部分載體樣本。
1、IM工具傳播
木馬團伙將偽裝程式定向投放到QQ群、微信群或者個人使用者,誘導特定人群點選執行。以下為部分通過IM工具傳播的木馬檔案,根據木馬的偽裝型別,大致可以劃分8個類別。
追蹤後發現,每類作為誘餌的木馬載體都是針對特定人群來進行攻擊的。比如,偽裝成圖片的“戶型圖5-k”、“歐式3-k”,目標為具有潛在買房需求或者從事房屋裝修行業的人群。而偽裝成活動海報或轉賬截圖的“掃碼領取紅包1^dg”、“微信截圖jpg-g”等,目標是專門從事棋牌遊戲充值的人群,這類人群的微信資料大多涉及網上常見的棋牌類遊戲,並附帶宣傳支援各類網銀、信用卡等線上充值,如下所示是其中某個從事該灰色產業的微信資料截圖。
2、釣魚網站傳播
針對棋牌充值類人群,該木馬團伙全方位撒網,除了通過IM工具誘導傳播,還特地製做了不少的釣魚網站。比如下面這個網站,直接就將木馬載體放置在首頁明顯位置供目標人群下載。
此外,還有一些針對棋牌推廣人員的釣魚網站,如下這個所謂的遊戲管理員後臺,遊戲推廣人員可以免費註冊一個後臺賬戶,然後進入該後臺生成所謂的推廣“二維碼”,實際上若是下載後不小心開啟便會中招了。
當然,該團伙的釣魚網站的目標並不侷限於棋牌遊戲相關人員,比如今年8月份我們就曾經在報告“風雲再起,簽名冒用引發信任危機”中披露了該團伙針對電子產品消費人群的釣魚攻擊。
三、樣本分析
木馬載體經過誘導傳播後,得以在目標使用者的電腦上執行,從而攻擊使用者電腦,下發遠控後門等木馬程式來圖謀利益。本章節主要通過兩個案例來披露該系列木馬家族的攻擊過程以及使用到的一些技術細節。
1、案例一
本案例的木馬母體偽裝成“圖片2018092115554.exe”,執行後假裝要更新地向遠端介面“http://www.xhsss.cn/update.php”發起一個驗證會話,傳送的資料加密前如下所示,其中包含重要的驗證引數即檔名。此驗證步驟是該類木馬的常用手法,在一定程度上減少了自身被分析除錯的風險,並能識別目標使用者、控制傳播範圍。
若通過目標身份的驗證則遠端伺服器會建立一個識別符號“uid”返回給該使用者,木馬通過該識別符號去訪問另外一個介面“fine.php”來獲取安裝配置,繼而通過該配置可繼續下載後門套件進行安裝。
接著木馬母體根據該配置去下載對應的payload檔案“pipi.bin”,使用金鑰“a123…”對其進行解密,在記憶體中得到一個“pipi.dll”模組並載入執行其中的匯出函式“INI”。
“pipi.dll”模組其實就是後門套件的安裝器,主要工作是在ProgramData目錄下釋放後門模組,佈置相關的持久化環境後就開始啟動後門程式。安裝過程大概程序鏈如下:
首先,通過微軟的證書管理工具“certmgr.exe”匯入自制的根證書到目標系統,其目的是強制讓系統信任以該證書為根的證書鏈驗證,使經過該證書鏈驗證的木馬模組顯示正常的數字簽名。如下便是一個木馬模組在受攻擊系統顯示的“正常”騰訊簽名:
然後木馬就可以放心地啟動後門程式了,啟動方式是執行白程式“SysTem.exe”,該程式是Firebird資料庫軟體的一個程式模組,執行過程中需要匯入程式依賴庫“fbclient.dll”,此時即為同目錄下被替換的後門模組。木馬正是通過這種“白加黑”的方式來啟動後門模組,並且在安裝過程設定了程式“SysTem.exe”為開機自啟動。
一旦木馬模組“fbclient.dll”得以執行,該程式將在軟體安裝目錄裡建立一個隨機目錄如“C:\Progarm Files\nqoimk”,並拷貝“SysTem.exe”本身和加密模組“wc.dat”到該目錄,“SysTem.exe”被重新命名為隨機名“nqoimk.exe”將作為一個傀儡程序來建立,然後木馬解密“wc.dat”得到一個最終的後門模組注入到該傀儡程序中執行。最終的後門模組是一個常見gh0st遠控後門程式,上線地址為:“88383436.9mng.vip:2900”。
1、案例二
本案例的木馬母體偽裝成“戶型圖13-k.exe”,通過IM工具進行傳播。該類木馬常用冒用的數字簽名來躲避安全軟體的查殺,如下所示為其中一例樣本使用的冒用“Speed-Bit”公司的數字簽名。
母體樣本執行後將直接連線遠端伺服器準備下載木馬模組,連線的伺服器地址為“get.mibocx.com:443”:
連線後將自身檔名和雜湊值(SHA-512)等資訊加密後回傳伺服器,只有當伺服器驗證成功才會返回木馬模組的下載地址,並進一步下載執行。此驗證步驟的目的同前述案例,若通過目標身份的驗證才會下發內嵌木馬模組的解密金鑰,然後載入該模組開始進一步安裝後門套件。
此步驟在不同的時期內有所演變,早期該類木馬下發的資料格式類似上述案例的安裝配置,除了包含第二個欄位用作解密金鑰外,第一個欄位也用作payload的下載url;最新版本的該類木馬則不再使用第一欄位,而是直接將payload內嵌於母體本身,但解密方式則保持不變,並且解密演算法和上述案例也均相同,出自同一套木馬作者自己實現的“動態演算法”,如下為木馬團伙使用的兩種加解密專用工具。
接著木馬程式開始安裝後門套件,安裝之前還會聯網下載一些加密的資源。早期該類資源可以直接下載得到,而最新的版本同樣升級了一下,在資源網站上加入了一層身份驗證,用來增加分析難度。
然後進入安裝流程,首先木馬呼叫開源管理員工具NSudo來往目標系統匯入一份登錄檔檔案“nopuac.reg”,其功能是禁用系統的UAC彈窗,使後續的模組得以使用管理員批准模式執行。
禁用UAC彈窗之後,木馬在軟體安裝目錄下建立一個名為“QianYueBluetooth”的資料夾並在其中釋放壓縮資源“BlueSoleil.rar”,隨即使用密碼“luanshi#120”對其解壓進而釋放後門安裝套件如下,安裝過程大致體現在“BlueSoleil.json”中的批處理程式碼,主要是匯入自制根證書和利用多組“白加黑”來啟動目標程式,和上述案例比較類似。
安裝完畢後通過執行“OneDriveSetupwb.exe”來最終啟動payload模組。“OneDriveSetupwb.exe”實際上是蘋果公司的軟體模組“APSDaemon.exe”,啟動payload的過程也是屬於“白加黑”,最終將載入同目錄下被替換後的後門模組“APPLEVERSIONS.dll”。該模組被加了一層“Themida”強殼,經過脫殼處理後可以分析出其主要功能是下載安裝一款國外的遠端控制軟體“RemoteUtilities”,並執行其中的主程式以啟動控制遠端電腦的功能。
一旦在受害使用者電腦安裝啟動“RemoteUtilities”遠端控制軟體,木馬只需要將軟體自動生成的賬戶密碼回傳伺服器就可以通過遠端控制端直接操作電腦了。
1、Payload分佈
經過前兩個案例的分析,可見該系列木馬家族均是從母體程式開始,最終在受害使用者電腦上安裝載入Payload程式來幹活。本小節主要統計一下該系列木馬最終下發的Payload分佈情況,大概佔比如下圖。
圖中主要分為遠控後門和挖礦木馬兩大類,其中遠控後門類佔了較大比例,並且是持續性地進行傳播。而挖礦類木馬的傳播特點則是間歇性爆發,分別集中在三月末和九月初,其下發載入的過程類似前述兩個案例,只不過安裝套件稍微有點變化,這裡就不再贅述。
四、安全對抗
該系列木馬家族從發現以來頻繁地改變和更新自身的“外貌”特徵,試圖躲避安全軟體的識別與查殺。下面主要列舉三種其採用過的“變身”方式。
1、簽名冒用
簽名冒用是指惡意程式具有的數字簽名與某知名公司的數字簽名串相同,但並非由該知名公司官方的證書所簽發,而是另外從其他簽發機構申請到相同簽名主體的證書。此類攻擊360核心安全持續追蹤並進行披露,該類手法正是本系列木馬家族擅長的一種躲避查殺的方式,木馬使用的數字簽名所冒用的物件包括方正、中望CAD、JRiver等國內外知名公司。更多關於該類攻擊手法的報告可參見附錄的參考連結。
2、軟體認證
在不斷更換冒用簽名來逃避360查殺的同時,木馬團伙也借用一些“正當”的外殼公司試圖來認證自己的木馬程式。例如我們曾經發現該團伙以“上海破壁網路資訊科技有限公司”的身份來提交軟體,試圖通過正規的軟體認證流程來躲避查殺,不過最終還是在第一時間被發現和禁止。
該團伙提交的木馬程式被打包在一個“通用工資管理系統”的軟體安裝包裡面,該安裝包還具有“Shanghai Pobi”(上海破壁)的數字簽名,看起來像是正常的行業軟體。
然而在該軟體安裝後,將會在安裝目錄釋放多個程式庫和資料庫檔案,木馬程式悄然混在其中難以通過肉眼分辨。經分析後發現,混入其中的檔案無論從程式碼特徵還是控制C&C上看,正是“亂世”家族系木馬。
3、郵件反饋
面對360對此類木馬家族的全面查殺,木馬團伙卻不甘示弱,反而兵行險招、主動出擊,化身為海外廠商使用者更進一步地直接通過郵件反饋試圖獲取“通行證”。以下截圖為該團伙在國慶前夕的反饋郵件,希望我們對其軟體取消攔截。
反饋郵件的最後,這位海外使用者附帶了一個事先上傳至騰訊企業郵箱的附件連結,從連結下載的檔案正是國外媒體軟體廠商JRiver的播放器安裝包,無論從程式圖示、功能還是數字簽名上看都很像是真的出自JRiver公司,然而經過分析檢測後很容易便識別出該軟體包使用的數字簽名正是出自上文所述的冒用簽名。
除了反饋的樣本屬於冒用簽名類之外,反饋的郵件本身也非常的可疑。首先引起我們注意的是這個國外“友人”使用的貌似自己公司的郵箱傳送郵件內容,而附件樣本卻通過了騰訊企業郵箱來上傳實在有些奇怪。於是查一下該發件郵箱的域名MX記錄,卻發現這個郵箱表面是“JRiver”公司自己的郵箱,實則卻綁定了騰訊QQ的企業域名郵箱伺服器。
如果說該公司繫結騰訊的企業郵箱不足為奇,那再來看下這個域名的註冊資訊。查詢發現,該域名的註冊時間十分惹眼,並且是匿名註冊,反饋者從註冊域名到繫結企業郵箱、簽發冒用類樣本並上傳、最後傳送郵件反饋給我們,前後時間間隔竟然不超過半天,如此高效和針對性的動作讓人不得不對這個反饋者的身份和目的有所猜測。
後來我們給這位海外使用者回覆了郵件,希望他們提供相關的資訊和材料,不出所料的從此再沒有任何回信。結合反饋樣本所用數字證書籤發的多例木馬樣本,還有以下找到的JRiver官方網站,最終認定該反饋者系木馬團伙成員。
五、總結
“亂世”木馬家族屬於今年較為活躍的一個家族,主要針對國內各類特殊的目標群體,並且黑白通吃。從作案手法上看,該團伙經常是將木馬載體偽裝成各種文件、圖片或者工具,結合釣魚網站或者社工欺騙誘導目標使用者執行其中的木馬程式,最終偷偷控制電腦以謀取利益。從對抗方式上看,該團伙也是費盡心思,千方百計地偽裝自己希望規避查殺,不僅採用了“簽名冒用”、“白加黑”等流行的技術手段,還主動提交木馬程式試圖魚目混珠。在安全形勢日益嚴峻的今天,攻防還在繼續,“亂世”木馬家族只是這條道路上的一陣陰風,為了廣大使用者的利益安全,我們必將不懈努力。
附錄
Hashs
相關域名
