什么是感染型病毒?
感染型病毒讓人煩不勝煩,最根本的原因在于他本身除了具有感染其他程序的功能之外,一般也會攜帶一個其他類型的惡意模塊,如后門或者竊密模塊,而感染只是為了更好的傳播自身。這也是他與蠕蟲病毒最大的不同,蠕蟲病毒是一個獨立的程序,不需要宿主程序。如今,隨著木馬技術的發展,感染型病毒也有很多不的感染方式,典型的感染型病毒有Ramnit和Virut等,本文中分析的Synaptics病毒是一個感染能力極強,但是總體邏輯比較簡單的病毒。
Synaptics感染型病毒將自身的文件描述等都偽裝成筆記本電腦觸控板的驅動程序Synaptics Pointing Device Driver。在病毒運行后,會遍歷磁盤上所有的可執行文件,并將目標文件更新到病毒資源中,將病毒文件的圖標資源替換為目標文件圖標,然后用病毒文件覆蓋目標文件,完成感染。
用戶在使用電腦的過程中,并不會有太明顯的感知,因為被感染的程序在運行后,會先執行病毒代碼,隨機釋放正常的文件進行執行。下圖是被感染的7z安裝程序,通過對比可以發現兩者的一些不同點:
每個感染型病毒也都會攜帶一些其他的惡意功能,而Synaptics則攜帶一個后門,與CC服務器建立連接后,通過接受后門指令執行不同的惡意功能,包括截屏,文件下載,鍵盤記錄等等。
木馬查殺徹底清除感染型病毒
感染型病毒通過修改其他計算機程序(宿主程序),向宿主程序中插入惡意代碼的計算機病毒。如果插入成功,則宿主程序在運行時便會執行被插入的惡意代碼。由于感染機制比較特殊,感染型病毒清除存在一定的挑戰,處理過程中稍有不慎就可能導致程序被再次感染。360安全衛士(weishi.360.cn)木馬查殺在檢測到感染型病毒時會啟用防感染模式進行全盤查殺:
一鍵點擊“啟用防感染模式”,360安全衛士木馬查殺就能幫助你查殺并修復被感染的程序,清除被感染程序體內的惡意代碼,快速且徹底的解決你的電腦問題。
憶一代人青春的大電影《夏洛特煩惱》,一經上映便好評不斷,成為《大圣歸來》后刷爆朋友圈的又一佳作。然而,不法分子也盯上了這個契機,以“槍版《夏洛特煩惱》免費下載”為噱頭,在電影中打包木馬病毒。目前360已對該木馬進行查殺,含木馬的下載包將會被單獨隔離。
圖1:360提示夏洛特煩惱捆綁木馬病毒
《夏洛特煩惱》與同期的《港囧》、《解救吾先生》相比,在明星陣容以及特效、宣傳上都有所不及。但由于口碑奇高,在朋友圈及微博上得到了觀影者們大量的自發宣傳,截至10月7日,票房已超過6億,成為國慶檔最大黑馬。但這一黑馬,卻偏偏在有心人的安排下與木馬“同行”。
據部分網友反映,從網盤上下載了槍版夏洛特煩惱后,360安全衛士彈窗顯示“該文件存在木馬”。原來,這是不法分子將木馬和電影打包在一起后,上傳到網盤;之后再通過微博等平臺放出網盤鏈接。一旦網友通過網盤下載,就會將打包的木馬一并帶至電腦。如果用戶電腦沒有安裝安全軟件,很可能導致一些賬號密碼被盜用,造成網友的財產損失。
電影中,遭遇中年危機的夏洛,通過一場夢找回了自己的青春和激情。但假如電腦的支付賬號和密碼、以及珍貴的個人資料被黑客盜走,那就沒有那么容易找回了。
圖2:刷爆朋友圈的夏洛特煩惱被不法者利用
安全專家介紹,將木馬和熱門電影打包供網友下載,早已成為傳播木馬的常見手段之一。缺乏安全意識的網友,往往會因為對新電影的好奇而忽略潛在的風險,下載網盤文件。甚至有部分網友,在安全軟件提示文件包含木馬后,會為了觀賞電影而退出安全軟件,讓電腦完全暴露在木馬的控制中。
“一旦如此,不法分子便能通過木馬來竊取你在電腦中儲存的賬號密碼,監測你在登錄游戲、使用網銀時實時輸入的帳號及密碼,甚至還能夠對你的電腦進行遠程操控。”安全專家詳細指出此類木馬的危害。
安全專家也不忘提醒廣大網友,要選擇正規電影網站或者影院觀看電影,以免下載到攜帶病毒的電影‘如果曾經進行過下載電影的操作,一定要盡快使用360等安全軟件對電腦進行全盤掃描,避免損失進一步擴大。看電影只是為了開心,不要因為帶毒的夏洛特煩惱,而變得“用戶特煩惱”。
期,360安全大腦監測到“永恒之藍”下載器木馬的攻擊者正在調整攻擊策略,意圖替換由“驅動人生”更新通道下發的木馬攻擊模塊,改由之前植入的PowerShell后門統一管理。老的攻擊模塊將逐步被棄用,并使用PowerShell進行重寫之后以“無文件”形式實施攻擊。
2018年12月14日,攻擊團伙通過“驅動人生”更新通道下發“永恒之藍下載器木馬”,被下發的木馬包含橫向傳播模塊和加載模塊(加載挖礦功能)兩部分。這些攻擊模塊都以PE文件的形式存在,帶有數字簽名“ShenzhenSmartspace Software technology Co.,Limited”,并且都是由“驅動人生”更新通道下發或是其下發木馬的衍生物。
圖12018年12月14日“驅動人生”更新通道下發的木馬
植入計劃任務后門
伺機“獨立運營”
5天之后,攻擊者在更新橫向傳播模塊的同時,還向受害計算機中植入一個計劃任務后門。該計劃任務通過PowerShell從hxxp://r.minicen.ga/r?p下載惡意代碼執行(具體細節請移步http://www.360.cn/n/10528.html)。
雖然當時域名r.minicen.ga并未解析,但這仍然不影響這個計劃任務后門在該組織未來攻擊中所扮演的重要角色。2019年1月26日,攻擊者更改了計劃任務后門連接的url為hxxp://v.beahh.com/v,這個url被沿用至今。
之后的種種跡象表明,攻擊者在受害者機器上植入后門絕對是有意為之。2019年2月20日,該計劃任務后門經過多次測試之后開始穩定地從hxxp://v.beahh.com/v下載惡意載荷執行。而下載的惡意載荷就是攻擊者開發的新挖礦模塊,該挖礦模塊將代替舊的挖礦模塊加載器svhhost.exe。不難看出,第一個攻擊模塊——挖礦模塊已經從“驅動人生”更新通道下發的木馬框架中脫離。
圖22019年2月20日挖礦模塊從原有框架脫離
著手測試僵尸機
意圖“借殼上市”
2019年3月5日,360安全大腦監測發現,該攻擊事件的幕后控制者在進行小范圍的測試,測試中的僵尸機不超過100臺。這些機器將通過計劃任務后門從hxxp://v.beahh.com/eb下載橫向傳播模塊。該橫向傳播模塊由PowerShell編寫,且代碼經過大量混淆。雖然當時該模塊依然未編寫完成,但攻擊者的測試一直在持續中。
圖3 未編寫完成的橫向傳播模塊
僅一天之后,我們又發現了一例攻擊事件幕后控制者的測試,這次測試范圍較前一日的更小。在這次測試中,僵尸機通過計劃任務后門從hxxp://v.beahh.com/ipc下載橫向傳播模塊到本地址執行。不同于上次測試,這次橫向傳播模塊已經編寫完畢。
該橫向傳播模塊包含Invoke-WC、Invoke-SMBC和eb7三個掃描器,分別通過WMI弱口令爆破、SMB弱口令爆破和“永恒之藍”漏洞攻擊武器攻擊其他計算機。
圖4 Invoke-WC部分代碼
圖5 Invoke-SMBC代碼
圖6 eb7部分代碼
完成橫向滲透之后,木馬將在啟動目錄下寫入后門文件,后門從hxxp://v.beahh.com/ipc下載惡意載荷并執行。值得一提的是,攻擊者復用Invoke-ReflectivePEInjection項目代碼,試圖通過反射注入在PowerShell進程中完成所有工作,以實現“無文件”攻擊。
圖7 橫向傳播模塊滲透成功后植入的后門
通過分析此次更新不難發現,攻擊者試圖將所有模塊從老的木馬中脫離并獨立運營,這是一次完美的“借殼上市”。一旦攻擊者結束測試并開始大范圍實施更新,安全軟件將更難查殺有“無文件”攻擊模式加持的木馬。
圖8 下階段攻擊模塊可能將完全從老的傳播渠道中脫離
由于新的一輪攻擊尚處于測試階段,360安全大腦提醒廣大用戶做好以下幾點防御措施,以應對即將到來的攻擊:
1. 及時安裝系統和重要軟件的安全補丁。
2. 如無使用必要,請關閉135端口和445端口;
3. 使用強度較高的系統登錄口令;
4. 檢查計劃任務中是否有異常任務,檢查啟動目錄下是否有木馬文件run.bat、FlashPlayer.lnk、flashplayer.tmp、sign.txt,若有請刪除文件。
5. 下載安裝360安全衛士并保持開啟,防護個人電腦及財產安全。
IOC
hxxp://v.beahh.com/eb
hxxp://172.104.177.202/new.dat
hxxp://v.beahh.com/ipc
hxxp://27.102.107.137/new.dat
hxxp://p.beahh.com/upgrade.php