BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
2015-11-09 14:30
676 查看
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。
鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,安全团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。
一、“大灰狼”的伪装
以下是10月30日一天内大灰狼远控的木马样本截图,可以看到该木马变种数量不少、伪装形态更是花样繁多。
<img src="http://image.3001.net/images/20151106/14467914163.jpg!small" title="1.jpg"/></p>
大灰狼使用了不少知名软件图标,在此提醒网民在点击运行可疑来源的文件之前,最好查看属性通过数字签名判断文件真伪,而不要被文件名和图标迷惑:
<img src="http://image.3001.net/images/20151106/14467914366827.png!small" title="2.png"/></p>
二、木马程序分析
由于木马样本数量比较多,我们不一一列举,以下提供几例来说明。
本文用到的恶意代码md5:
1、动态调用系统函数,躲避杀毒查杀
大灰狼远控由于长期的被杀毒追杀,所以大量的使用动态调用系统api,来躲避查杀,所有的文件相关操作都采用了动态调用的方式。
<img src="http://image.3001.net/images/20151106/14467914953803.jpg!small" style="float:none" title="3.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467914972859.jpg!small" style="float:none" title="4.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467914986786.jpg!small" style="float:none" title="5.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467915009988.jpg!small" style="float:none" title="6.jpg"/></p>
几乎所有的样本都需要动态的解码才能获取到相关的函数调用。
在IDA里,我们可以看到木马使用的手段:
<img src="http://image.3001.net/images/20151106/14467915262605.jpg!small" title="7.jpg"/></p>
2、远程下载加密文件,并且本地解密
<img src="http://image.3001.net/images/20151106/14467915512639.jpg!small" title="8.jpg"/></p>
木马程序为了方便远程的文件更新,会把恶意代码放在远程的一个服务器中,而且会对这个文件进行加密,需要在本地解密,然后装载到内存中,在本地文件中无法得到解密后的文件,只有一个被加密的残留文件:
<img src="http://image.3001.net/images/20151106/14467915744417.jpg!small" title="9.jpg"/></p>
通过调用木马本身的解密程序,我们对这个木马的文件进行了解密,但是木马会把这个代码放在内存中,这是解密后抓取的相关文件,是一个可执行的文件:
<img src="http://image.3001.net/images/20151106/14467916013915.jpg!small" title="10.jpg"/></p>
为了方便伪装,木马文件使用了其他公司的版权信息:
<img src="http://image.3001.net/images/20151106/1446791622474.jpg!small" title="11.jpg"/></p>
3、大量增加无关函数调用,检测和对抗杀毒软件
为了增加分析的难度,内存中抓取的文件也是被加密的,这个文件是程序执行的主要部分,为此我们还要继续解密。
<img src="http://image.3001.net/images/20151106/14467916459628.jpg!small" title="12.jpg"/></p>
经过继续的解密和分析,最终的解密文件的内部函数调用是这样的:
<img src="http://image.3001.net/images/20151106/14467916756065.jpg!small" title="13.jpg"/></p>
也有的是这样的:
<img src="http://image.3001.net/images/20151106/14467916993200.jpg!small" title="14.jpg"/></p>
这些调用显然与普通程序不同,这是一种通过大量增加类似sleep和Rectangle等跟木马功能完全无关的api调用,来实现干扰杀毒查杀的手段。
同时还会木马程序还会遍历检测各个杀毒软件:
<img src="http://image.3001.net/images/20151106/14467917247276.jpg!small" title="15.jpg"/></p>
为了躲避杀软的追杀,还采用了域名、网盘空间上线等上线方式:
<img src="http://image.3001.net/images/20151106/14467917489909.jpg!small" title="16.jpg"/></p>
通过以上的木马样本分析,我们可以看到,大灰狼远控具有比较丰富的免杀和对抗经验,那么木马作者究竟是什么人呢?接下来,我们需要按图索骥去追查这个木马的来源和幕后情况。
三、真凶调查
在处理数百个样本的过程中,我们逐步锁定了一个很关键的域名,这个域名在上文中相信大家也看到了:ckshare.com。
通过域名查询我们定位到了牧马人:
<img src="http://image.3001.net/images/20151106/14467917739710.jpg!small" title="17.jpg"/></p>
通过搜索引擎还发现了非常关键的信息:一个专门销售大灰狼木马的网站。
<img src="http://image.3001.net/images/20151106/14467917965511.jpg!small" title="18.jpg"/></p>
我们按照帖子的提示找到了该网站:
<img src="http://image.3001.net/images/20151106/1446791823847.jpg!small" title="19.jpg"/></p>
这个网站的客服居然就是域名的所有者,显然这个qq就是牧马人了。
<img src="http://image.3001.net/images/20151106/14467918478520.jpg!small" title="20.jpg"/></p>
我们发现该网站貌似正规,居然还有网站的备案信息:
<img src="http://image.3001.net/images/20151106/14467918681839.jpg!small" title="21.jpg"/></p>
通过获取的备案域名查询工信部网站的相关资料:
<img src="http://image.3001.net/images/20151106/14467919018907.jpg!small" style="float:none" title="22.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467919024415.jpg!small" style="float:none" title="23.jpg"/></p>
显然这个域名和备案信息是不一致的。那么这个备案信息对应的究竟是哪个域名呢?
<img src="http://image.3001.net/images/20151106/14467919385977.jpg!small" style="float:none" title="24.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467919397134.jpg!small" style="float:none" title="25.jpg"/></p>
可以看到备案信息就是木马的下载地址。同时下面还有一堆的域名,显然是牧马人留作备用的,同时我们获取了牧马人姓名等重要信息。
继续查询这个域名的解析ip是在广东省,然而域名相关的地址是河南,显然牧马人可能会有其他马甲,继续追查。
<img src="http://image.3001.net/images/20151106/14467919642821.jpg!small" title="26.jpg"/></p>
由于大灰狼远控网站提供的联系信息,我们进一步追查终于定位到了牧马人的重要信息,并假装买主与之联系:
<img src="http://image.3001.net/images/20151106/14467919901491.png!small" title="27.png"/></p>
在追查的过程中,我们最终掌握了该网站的大灰狼远控销售状况:
<img src="http://image.3001.net/images/20151106/14467920168047.png!small" title="28.png"/></p>
由于牧马人采用不同的等级销售方式,我们有理由确认这是一个资深的黑产“从业者”:
<img src="http://image.3001.net/images/20151106/14467920493591.png!small" style="float:none" title="29.png"/></p>
<img src="http://image.3001.net/images/20151106/14467920498321.png!small" style="float:none" title="30.png"/></p>
由于该牧马人有所戒备,难以通过qq聊天套出更多信息。不过从他炫耀的后台管理来看,与我们监控的木马传播状况是大体一致的,由此也佐证了这位木马贩子就是大灰狼远控的幕后黑手。
四、安全提醒
通过此次调查,安全团队逐步掌握了大灰狼远控的主要来源,这个远控木马在bt天堂挂马事件中非常猖獗,甚至把政府网站作为木马的下载地址,长期、持续地威胁着网民的财产和信息安全。
防范大灰狼一类远控木马的几个小建议:
1、及时打补丁。
2、XP用户一定要开启安全软件防护。
3、运行未知程序之前检查文件是否有正规的数字签名。
鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,安全团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。
一、“大灰狼”的伪装
以下是10月30日一天内大灰狼远控的木马样本截图,可以看到该木马变种数量不少、伪装形态更是花样繁多。
<img src="http://image.3001.net/images/20151106/14467914163.jpg!small" title="1.jpg"/></p>
大灰狼使用了不少知名软件图标,在此提醒网民在点击运行可疑来源的文件之前,最好查看属性通过数字签名判断文件真伪,而不要被文件名和图标迷惑:
<img src="http://image.3001.net/images/20151106/14467914366827.png!small" title="2.png"/></p>
二、木马程序分析
由于木马样本数量比较多,我们不一一列举,以下提供几例来说明。
本文用到的恶意代码md5:
0b1b9590ebde0aeddefadf2af8edf787 0ea5d0d826854cdbf955da3311ed6934 19c343f667a9b958f5c31c7112b2dd1b d16e6ef8f110196e3789cce1b3074663
1、动态调用系统函数,躲避杀毒查杀
大灰狼远控由于长期的被杀毒追杀,所以大量的使用动态调用系统api,来躲避查杀,所有的文件相关操作都采用了动态调用的方式。
<img src="http://image.3001.net/images/20151106/14467914953803.jpg!small" style="float:none" title="3.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467914972859.jpg!small" style="float:none" title="4.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467914986786.jpg!small" style="float:none" title="5.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467915009988.jpg!small" style="float:none" title="6.jpg"/></p>
几乎所有的样本都需要动态的解码才能获取到相关的函数调用。
在IDA里,我们可以看到木马使用的手段:
<img src="http://image.3001.net/images/20151106/14467915262605.jpg!small" title="7.jpg"/></p>
2、远程下载加密文件,并且本地解密
<img src="http://image.3001.net/images/20151106/14467915512639.jpg!small" title="8.jpg"/></p>
木马程序为了方便远程的文件更新,会把恶意代码放在远程的一个服务器中,而且会对这个文件进行加密,需要在本地解密,然后装载到内存中,在本地文件中无法得到解密后的文件,只有一个被加密的残留文件:
<img src="http://image.3001.net/images/20151106/14467915744417.jpg!small" title="9.jpg"/></p>
通过调用木马本身的解密程序,我们对这个木马的文件进行了解密,但是木马会把这个代码放在内存中,这是解密后抓取的相关文件,是一个可执行的文件:
<img src="http://image.3001.net/images/20151106/14467916013915.jpg!small" title="10.jpg"/></p>
为了方便伪装,木马文件使用了其他公司的版权信息:
<img src="http://image.3001.net/images/20151106/1446791622474.jpg!small" title="11.jpg"/></p>
3、大量增加无关函数调用,检测和对抗杀毒软件
为了增加分析的难度,内存中抓取的文件也是被加密的,这个文件是程序执行的主要部分,为此我们还要继续解密。
<img src="http://image.3001.net/images/20151106/14467916459628.jpg!small" title="12.jpg"/></p>
经过继续的解密和分析,最终的解密文件的内部函数调用是这样的:
<img src="http://image.3001.net/images/20151106/14467916756065.jpg!small" title="13.jpg"/></p>
也有的是这样的:
<img src="http://image.3001.net/images/20151106/14467916993200.jpg!small" title="14.jpg"/></p>
这些调用显然与普通程序不同,这是一种通过大量增加类似sleep和Rectangle等跟木马功能完全无关的api调用,来实现干扰杀毒查杀的手段。
同时还会木马程序还会遍历检测各个杀毒软件:
<img src="http://image.3001.net/images/20151106/14467917247276.jpg!small" title="15.jpg"/></p>
为了躲避杀软的追杀,还采用了域名、网盘空间上线等上线方式:
<img src="http://image.3001.net/images/20151106/14467917489909.jpg!small" title="16.jpg"/></p>
通过以上的木马样本分析,我们可以看到,大灰狼远控具有比较丰富的免杀和对抗经验,那么木马作者究竟是什么人呢?接下来,我们需要按图索骥去追查这个木马的来源和幕后情况。
三、真凶调查
在处理数百个样本的过程中,我们逐步锁定了一个很关键的域名,这个域名在上文中相信大家也看到了:ckshare.com。
通过域名查询我们定位到了牧马人:
<img src="http://image.3001.net/images/20151106/14467917739710.jpg!small" title="17.jpg"/></p>
通过搜索引擎还发现了非常关键的信息:一个专门销售大灰狼木马的网站。
<img src="http://image.3001.net/images/20151106/14467917965511.jpg!small" title="18.jpg"/></p>
我们按照帖子的提示找到了该网站:
<img src="http://image.3001.net/images/20151106/1446791823847.jpg!small" title="19.jpg"/></p>
这个网站的客服居然就是域名的所有者,显然这个qq就是牧马人了。
<img src="http://image.3001.net/images/20151106/14467918478520.jpg!small" title="20.jpg"/></p>
我们发现该网站貌似正规,居然还有网站的备案信息:
<img src="http://image.3001.net/images/20151106/14467918681839.jpg!small" title="21.jpg"/></p>
通过获取的备案域名查询工信部网站的相关资料:
<img src="http://image.3001.net/images/20151106/14467919018907.jpg!small" style="float:none" title="22.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467919024415.jpg!small" style="float:none" title="23.jpg"/></p>
显然这个域名和备案信息是不一致的。那么这个备案信息对应的究竟是哪个域名呢?
<img src="http://image.3001.net/images/20151106/14467919385977.jpg!small" style="float:none" title="24.jpg"/></p>
<img src="http://image.3001.net/images/20151106/14467919397134.jpg!small" style="float:none" title="25.jpg"/></p>
可以看到备案信息就是木马的下载地址。同时下面还有一堆的域名,显然是牧马人留作备用的,同时我们获取了牧马人姓名等重要信息。
继续查询这个域名的解析ip是在广东省,然而域名相关的地址是河南,显然牧马人可能会有其他马甲,继续追查。
<img src="http://image.3001.net/images/20151106/14467919642821.jpg!small" title="26.jpg"/></p>
由于大灰狼远控网站提供的联系信息,我们进一步追查终于定位到了牧马人的重要信息,并假装买主与之联系:
<img src="http://image.3001.net/images/20151106/14467919901491.png!small" title="27.png"/></p>
在追查的过程中,我们最终掌握了该网站的大灰狼远控销售状况:
<img src="http://image.3001.net/images/20151106/14467920168047.png!small" title="28.png"/></p>
由于牧马人采用不同的等级销售方式,我们有理由确认这是一个资深的黑产“从业者”:
<img src="http://image.3001.net/images/20151106/14467920493591.png!small" style="float:none" title="29.png"/></p>
<img src="http://image.3001.net/images/20151106/14467920498321.png!small" style="float:none" title="30.png"/></p>
由于该牧马人有所戒备,难以通过qq聊天套出更多信息。不过从他炫耀的后台管理来看,与我们监控的木马传播状况是大体一致的,由此也佐证了这位木马贩子就是大灰狼远控的幕后黑手。
四、安全提醒
通过此次调查,安全团队逐步掌握了大灰狼远控的主要来源,这个远控木马在bt天堂挂马事件中非常猖獗,甚至把政府网站作为木马的下载地址,长期、持续地威胁着网民的财产和信息安全。
防范大灰狼一类远控木马的几个小建议:
1、及时打补丁。
2、XP用户一定要开启安全软件防护。
3、运行未知程序之前检查文件是否有正规的数字签名。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Codis安装部署全架构
- [服务器架构]微服务的深入思考
- 安卓、java开发软件官网和相关不错的网站软件下载地址
- 软件水平系统架构设计师复习资料汇总
- 有关UCF解析器系统架构的设计
- 《软件架构与设计模式》关于 抽象工厂模式 的一个小例子
- 准备做个门户网站--美丽邵阳(一)
- [译]Android图形系统 II 图形架构
- 手机版网站与pc端区别
- 重启网站
- 我是这样访问谷歌等网站的
- 在自己网站添加百度搜索
- 机房重构之--七层架构
- 权重6老站SEO诊断,我的网站突破口在哪里?
- 你经常访问那些安卓网站?附 几百个技巧大全网址,电纸书网站,查开房隐私泄露网址等
- 一些免费的WebService的服务网站
- android rom 网站
- 【转】网站建设整体设计思路
- 【转】企业网站建设方法论
- 【转】中小型企业网站设计思路及要点