您现在的位置是:主页 > 电脑软件 > 360技术博客:深入剖析“新黑狐”木马

360技术博客:深入剖析“新黑狐”木马

时间:2019-08-20 15:20??来源:互联网??阅读次数: 复制分享 我要评论

  摘要

  黑狐木马是2015年感染量较大、版本众多的一支木马家族,也是杀毒软件重点监控追杀的对象。近期360互联网安全中心发现黑狐木马出现重大变化,此变种不再使用原先的关键字,但是替换系统关键文件等行为不变,因此称其为“新黑狐”。

  新黑狐木马的主要特点是伪装和迷惑性强,用正常程序带后门的方式来掩护自己。其渠道推广能量极强,通过下载站、搜索引擎竞价排名等多个方式进行传播。此外,开机回写、启动删除、插入系统关键进程等手法也都是黑狐家族的基本特征。

  新黑狐木马替换系统关键文件,清除难度较高。木马激活后会接受黑客云端控制,向受害者电脑安装后门插件保持长期控制,还会收集受害者信息,并且在替换的系统关键文件中设置了后门,黑客可以通过远程命令随时更新插件。

  木马分析

  以一款游戏捆绑的新黑狐木马为例:

  0x00 新黑狐的伪装

  新黑狐以最新和最流行的游戏为捆绑载体,主要是游戏玩家众多,传播量大。虽然换了几层马甲,但是最后界面跟普通的游戏并无太多的差别。

  新黑狐木马通过的是白文件+黑文件的方式来迷惑广大用户,白文件是两个有数字签名的正规游戏公司的安装包,运行后会出现游戏界面给木马打掩护,黑文件则负责释放和安装木马。

  木马文件无数字签名:

  木马下载的白文件,属于正规公司的游戏产品:

  程序运行之后的游戏界面,以此迷惑中招的游戏玩家:

  0x01 静默行为

  木马程序启动,访问网络。地址如下:

  这是新浪的IP查询接口,获取IP地址和地址等信息,然后会获取用户的机器关键信息比如用户MAC地址,杀毒软件的安装情况,用户的操作系统版本,用户的屏幕分辨率等信息作为统计后台的信息:

  这里的统计后台显然是牧马人相关的

  

  同时我们还发现了这个域名相关的另外一个页面

  看来这个域名主要负责程序的安装统计以及更新:

  同时木马会检测自身是否被调试,检测到调试时,木马会激活自身的保护机制,退出程序:

  检测完受害电脑的以上信息之后,会生成一个日志文件(logEj.txt),记录了时间信息和程序运行的一些信息:

  同时在程序成功注入系统进程后会生成另外一个日志:

  然后,木马就会开始下载文件,下的是一个白文件(nsin31.exe):

  这个文件会释放出自身的配置文件和tbu612.exe白文件,同时引导程序继续下载:

  木马文件等程序下载完毕之后就在系统临时目录下生成一个tmp.exe文件

  这个文件实现了木马的核心功能替换系统关键文件,后文会有详解。

  通过进一步的分析,我们发现程序会先产生临时文件(yrd.tmp),然后通过命令行来实现临时文件替换系统文件

  这里说明下:

  takeown/f “c:\windows\system32\sens.dll”

  takeown/f*/A/RTakeown命令用于以重新分配文件所有权的方式允许管理员重新获取先前被拒绝访问的文件访问权。/f参数作用在于指定文件名或目录名模式。

  Icacls c:\windows\system32\sens.dll /grant administrators:F Icacls指显示或修改自由访问控制列表 (Dacl) 上指定的文件,并指定目录中的文件应用于存储的 Dacl。 F – 完全访问权限

  对c:\windows\system32\sens.dll 取得完全访问权限

  sens.dll 是系统服务“System Event Notification”调用的动态链接库文件 System Event Notification 的作用是跟踪系统事件,通过以上的操作,主要目的就是为了在系统中不留下日志文件。

  通过继续的追踪发现yrd.tmp最终会被替换成cscdll.dll。

  0x02 后患无穷

  上面提到,木马文件等程序下载完毕之后就在系统临时目录下生成一个tmp.exe文件,