0x00簡介

不久前，廣州網友李先生向360安全中心求助，反映他的電腦系統自動創建名為aaaabbbb的陌生賬號，殺毒軟件反復報毒，即使重裝系統仍然無法清除病毒。

經過360工程師遠程協助的初步判斷，李先生電腦主板BIOS很可能感染了惡意代碼。為此，我們請李先生把主板郵寄到360公司北京總部進行分析，發現這是一種前所未見的新型BIOS BOOTKIT。由于它會在系統中設置間諜賬號進行遠程控制，我們將其命名為諜影木馬。

與以往的BIOS惡意代碼相比，諜影木馬具有更強的兼容性和更高的技術水平：

一、全球首例感染UEFI主板的真實攻擊。諜影木馬支持的BIOS版本非常多，是目前已知的唯一能夠感染UEFI主板的木馬。諜影木馬會感染UEFI兼容模式的BIOS引導模塊，UEFI+GPT模式不受影響。在此前2011年出現的BMW BIOS木馬（國外廠商命名為Mebromi），則僅支持感染特定的Award BIOS；

二、系統兼容性強，支持所有主流的32位和64位Windows平臺，包括最新的64位Win10。

圖：64位Win10感染諜影木馬觸發微軟PATCH GUARD 導致反復藍屏

據了解，李先生是由網店購買的此二手主板。根據網絡搜索諜影木馬的中招現象，李先生的遭遇也并非個例。從現有樣本推測，惡意代碼可能是由編程器刷入主板BIOS，通過電商渠道販賣流通。

鑒于主板結構的復雜性和特殊性，現階段只有重刷BIOS才能夠徹底清除諜影木馬。以下是對諜影木馬技術原理的詳細分析。

0x01 BIOS與UEFI

BIOS是英文"Basic Input Output System"的縮略詞，直譯過來后中文名稱就是"基本輸入輸出系統"。其實，它是一組固化到計算機內主板上一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、系統設置信息、開機后自檢程序和系統自啟動程序。優先于操作系統執行，負責加載執行MBR代碼，其主要功能是為計算機提供最底層的、最直接的硬件設置和控制。

UEFI（Unified Extensible Firmware Interface）全稱“統一的可擴展固件接口”，是一種新的主板引導項，正被看成是有近20多年歷史的BIOS 的繼任者，自Win8以來得到了微軟的力推。UEFI號稱通過保護預啟動或預引導進程，可以抵御Bootkit攻擊，相比BIOS具有更高的安全性。

0x02技術分析

2.1 CSM模塊分析

木馬位于BIOS文件中 ：

主板為ASUS 華碩的 B85M-G-ASUS-0904。和正常的BIOS不同之處，在于木馬主板的CSMCORE模塊比正常的要大。應該只能在LEGACY MODE下有效，而通過UEFI啟動的應該無效。（CSM（Compatibility support Module）表示兼容模塊，該選項專為兼容只能在legacy模式下工作的設備以及不支持或不能完全支持UEFI的操作系統而設置。）

木馬在該BIOS模塊中，加入了自己的功能，掛鉤系統了正常函數來執行。

正常的函數如下：

木馬掛鉤了該函數改為：

將原有函數的第一條指令改為CALL，從而獲得執行機會：

之后其會判斷R9寄存器所指內容是否為3，可能是BIOS初始化成功的一個標志，然后搜索BIOS內部特征碼CD 19 B8 00 80 CB 00

應該是 BIOS內部初始化后，調用中斷INT19H 實現加載硬盤第一個扇區MBR執行的代碼。然后修改0X413處的數據，預留40KB空間，用來存放木馬代碼，并將BIOS內的代碼拷貝到該預留空間。并將前面找到的BIOS內部初始化后，調用中斷INT19H 實現加載硬盤第一個扇區MBR執行的代碼，改為調用木馬自身的代碼。

2.2 INT15掛鉤分析

然后，返回繼續執行，當執行到BIOS初始化好，準備加載磁盤MBR代碼的時候，就會執行木馬的代碼。木馬這時候會掛接INT15H中斷，然后恢復執行原來的代碼，這樣就完成了掛鉤，后續就和暗云系列的MBR木馬相似，通過掛鉤INT15H來一步一步的掛鉤內存，加載自身。

這樣，當系統MBR獲得執行的時候，木馬已經在內存中掛好了INT15h的HOOK,之后，會HOOK bootmgr!Archx86TransferTo64BitApplicationAsm獲得下次執行機會，然后再HOOK winload!OslArchTransferToKernel,，然后等內核加載時候會HOOK ZwCreateSection，從而切入到內核運行，然后會設置線程回調。

2.3 線程回調掛鉤

接下來會設置線程回調 PsSetCreateThreadNotifyRoutine

和進程回調PsSetCreateProcessNotifyRoutine，進程回調中只打印了下"Process %d Create %d\n"，線程回調才是關鍵內容。

線程回調中木馬判斷是否為csrss.exe進程，如果不是則跳過，如果是就創建一個系統線程，

并且插入一個工作線程，將自身的線程回調抹去。

2.4 內核線程網絡下載代碼

在創建的系統線程內會先等待1分鐘大概是為了等網絡準備好。

然后會嘗試使用兩種方式去下載惡意Code到內核執行，

優先嘗試UDP DownLoadShellCodeByUDP，函數為解析 www.XXXX.top 域名。

使用0xDEDE43D0 0x8080808，兩組DNS域名轉化過來，即（222.222.67.208 8.8.8.8）

與www.XXXXtop 通信端口為0x801F即8064號端口。

優先使用0x3500即53號端口請求域名服務，拿到 www.XXXX.top 域名對應地址。

先請求服務器，詢問Shellcode 長度分片大小，然后一個一個分片處理，最后拼接一起。

發送數據包為，長度為0x10。

接受數據包為：

總長度為0x28，頭部長度為0x10，數據部分長度為0x18，校驗和為0xd845672a。

Shellcode長度為0x1a32d，總共有 0xd2個分片，每個分片大小為 0x200。

在使用UDP方式收發數據時候會對數據部分進行校驗。

校驗成功才拼接在一起，否則丟棄，然后再申請非分頁內存。

將之前的內存代碼拷貝執行，將NT基地址作為參數傳入。

2.5解密惡意代碼和投遞APC

下載下來的代碼僅頭部可以執行，后面部分為加密數據，需要解密執行。

調用函數為RtlDecompressBuffer，解密后大小為150728，解密方式為

COMPRESSION_FORMAT_LZNT1。

接著會調用填充導入表：

然后調用PsCreateSystemThread創建注入線程。

線程中：

優先查找系統進程注入找到的是spoolsv.exe。

然后再是殺軟進程：

申請內存拷貝注入：

插APC注入：

2.6 執行用戶層惡意下載代碼

注入后從應用層執行，代碼中包含一個DLL文件，執行函數為申請內存基地址。

然后獲取Kernel32 模塊基地址，跟 LoadLibraryA GetProcAddress VirtualAlloc，

填充內存中PE文件導入表，填充完成后執行DllMain函數。

會在DllMain中創建線程，執行下載并且運行，根據控制碼暫停或者刪除相關服務。

線程函數：

提權操作解密下下載地址數據。解密后內容為：

根據控制碼暫停或者刪除服務：

然后分三種方式運行： (DLL加載，父進程注入，直接創建EXE運行)

2.7 創建惡意賬號

這里下載下來的是一個EXE，主要功能就是創建了一個管理員賬號。

截圖：

0x03結束語

諜影木馬可寄生在包括UEFI主板在內的多種版本BIOS里，非常精細地針對性感染BIOS引導模塊，通殺Windows全平臺實施遠程控制，呈現出高危害、高復雜度和高技術水平的“三高”特點。

為了預防諜影木馬，360安全中心建議網友：盡量選擇官方渠道購買電腦配件，并開啟安全軟件實時防護。如果遇到電腦開機登陸界面緩慢、系統出現陌生賬號、安全軟件反復報毒等可疑情況，最好向安全廠商求助，以防木馬病毒對個人數據和財產造成損失。