“血狐”病毒伪装传奇微端 借618电商大促打劫佣金
0x1 概述
近日,腾讯御见安全团队捕获到通过二次打包并借用第三方渠道假冒传奇微端传播的“血狐”病毒。该病毒携带正规白签名,且签名厂商直接伪装国内某知名游戏公司,以此获得渠道商的信任,并因为拥有合法数字签名而容易欺骗杀毒软件。
当用户在电脑安装这个假冒的传奇微端时,病毒随即释放安装Rootkit性质的顽固病毒。当中毒电脑用户启动浏览器访问搜索引擎网站和电商网站时,浏览器URL均被劫持到含病毒作者推广ID的链接,至此,中毒用户的每次访问,均会给病毒作者带来佣金收入。
同时,这种浏览器劫持行为可能危及中毒电脑隐私信息安全,并随时有可能被劫持到钓鱼网站,给中毒用户造成更大损失。腾讯御见威胁情报中心对该家族系列病毒进行溯源分析后发现,该病毒较早期版本内置的资源文件携带血滴状图片,故命名为“血狐”病毒。
早期样本资源内图
病毒工作流程图
0x2 样本分析
母体微端安装包
查看病毒母体安装包签名与其释放的游戏文件可发现签名并不一致(上图左为病毒签名,右为病毒打包携带的正常游戏签名)。
进一步观察签名信息后还可发现,病毒为了使自己的签名更具有可信性,还伪装了国内知名厂商多玩旗下软件签名(上图左为多玩DNF游戏盒的签名,右为病毒伪装安装包签名)
对比多玩旗下游戏盒子签名可发现,两者差别仅在于颁发机构的不同,NDF游戏盒颁发机构为WoSign,病毒安装包使用颁发机构为Go Daddy。
病毒母体运行后除安装了传奇微端客户端外还会释放出一个WebServices.exe的白签名的文件,签名信息与病毒母体使用签名一致,依然为高度伪装的白签名。
病毒母体把WebService.exe设置为服务启动项,并对该服务中的Boot值设置驱动感染开关标记,当不在虚拟机和网吧环境中时为标记1,否则标记3。
检测虚拟机
主要通过查询注册表对应键值中是否有virtual,vmware,vbox等关键字信息。
检测是否网吧环境主要通过大量网吧管理软件进程名来判断。
WebService.exe
运行后首先判断系统为x86还是x64,并全局标记,方便后期使用此标记释放对应版本的驱动文件。
根据当前的系统版本与256长度的密钥异或来解密出其接下来要释放的驱动文件数据
读取病毒母体之前设置的Boot标记值,来决定后续释放行为。
当标记不等于3的时候(即为非虚拟机和非网吧环境,而是普通用户电脑环境时)死循环不停遍历进程(此时,系统资源消耗会增加,电脑会变得有些卡顿,系统性能强劲的电脑感受会不明显),目的为捕获关机时刻释放随机名病毒驱动模块。
捕获关机时刻通过遍历进程判断特定进程不存在,检测的进程主要为上图进程名
在关机时生成随机名为8个字符的驱动目录,文件名。
把解密出的驱动数据写入到磁盘随机名驱动文件
查看释放出的恶意驱动携带吊销签名Fuqing Yuntan Network Tech Co.,Ltd.
对释放出的驱动文件设置注册表服务启动信息,当机器下次开机后,恶意驱动会被自动加载。
恶意驱动1
判断当前系统版本用来判断是否释放后续其它模块,通过其返回值为true的条件可知病毒基本支持当前主流Win系列版本的系统。
当满足运行系统条件后会在硬盘创建创建一个DLL文件
DLL文件数据隐藏在驱动文件0x17c48处,查看PE信息可知是个加壳的DLL。
病毒通过Irp-Hook病毒文件所在的卷设备对象来隐藏病毒自身文件。
Hook后的Dispatch函数中过滤掉自身创建的随机名目录和文件,导致正常情况下在系统中无法看到病毒文件,病毒文件的访问中针对Explorer进程进行了放行,原因为病毒后期在3环下的工作模块会注入到系统Explorer进程中。
病毒驱动模块会通过KeServiceDescriptorTable拿到NtLoadDriver函数地址,然后通过调用4次硬编码查找函数(ba7011a4),知道找到MiProcessLoaderEntry函数,目的通过搜索获取MiProcessLoaderEntry地址调用,达到摘链来隐藏模块信息不被ARK工具发现。
硬编码查找结果1:IopLoadUnloadDriver
硬编码查找结果2:IopLoadDriver
硬编码查找结果3:MmLoadSystemImage
硬编码查找结果4:MiProcessLoaderEntry
病毒最终在DriverReinitialization回调中执行隐藏驱动模块相关代码。
病毒在CmRegisterCallback回调中保护自身注册表信息不被读取删除。
在驱动层进行网络发包Get请求劫持信息
把接受到的配置信息创建后缀为.dt劫持配置文件
并设置注册表关闭UAC
病毒驱动还会创建一个.db后缀的驱动文件,并创建服务名为ajiriyrq的启动项
并在内核层把.db后缀名的驱动给加载起来
.db恶意驱动2
模块通过LoadImage回调,捕获explorer进程启动时机
通过HookZwtestAlert执行HookCode实现explorer进程启动时装载恶意DLL
注入Explorer的DLL
注入系统Explorer进程的恶意DLL会读取dt劫持配置文件并设置PAC代理脚本
病毒运行成功后系统被恶意设置PAC脚本
脚本劫持站点主要为各大购物站和知名搜索站,病毒在URL后面加上推广ID,依此获得佣金收入,在病毒感染达到一定量级时,这种劫持网络的手法能给病毒控制者带来丰厚的收入。
当用户访问搜索站最终自动跳转到带推广id站点
当用户访问购物站最终自动跳转到带推广id站点
0x3 结语
该病毒由于部分模块工作在内核层,且病毒母体使用了正规白签名(签名完全合法,只是仿冒了知名公司名,由正规证书颁发机构签发)。极容易通过互联网各良莠不齐的软件分发渠道传播到用户机器隐藏运行偷偷牟利。
病毒劫持浏览器代理设置,存在严重安全隐患:除了可以通过劫持电商网站和搜索引擎网站获利,病毒还可能监视网络流量,威胁隐私安全。同时,还可能将用户劫持到钓鱼网站而造成严重损失。
腾讯安全团队针对各渠道软件早有监控,也曾捕获到多起利用高速下载站借助捆绑第三方软件传播的恶意木马,例如暗云系列,感兴趣同学可阅读《暗云Ⅲ BootKit 木马分析》一文,http://www.freebuf.com/articles/system/134017.html
腾讯安全团队建议用户从正规渠道下载常用软件,游戏。推荐使用腾讯电脑管家软件管理功能。如不幸中招,可使用腾讯管家急救箱查杀此类内核顽固病毒。
0x4 IOCs
Md5
2d9ec1c43f8cc98b2290a9e922721b10
635bcda39df32a8bf9aeec1d56b0004b
0ffc127b6931d7c063ac37a8ab13dbcd
ce91288b7ac76f9dc0de7ac4c60c98ce
d133af6a7e81d74661e8b57680715ae1
56963c64b6baafc1fe5bd3fe93edf06d
病毒获取配置文件通信IP
207.148.113.60
206.189.90.51
139.162.76.150