一、事件概述
近期毒霸安全團隊在日常樣本監控中發現一批雲控後門模塊的傳播感染量大幅上漲,其主要宿主程序為"廣州天行客網絡科技有限公司"旗下的多款裝機工具中,包括:"韓博士"、"黑鯊"、"大地"等系統重裝軟件。
從我們的溯源結果分析發現,該款惡意裝機軟件"改頭換面"成為驅動人生旗下的"一鍵重裝",但是同樣內嵌後門模塊,這也是近期該後門感染量急劇上升的重要原因之一。雖然目前該後門模塊暫時處於休眠狀態,但是分析線索顯示該後門和2015年肆虐網絡的“蘇拉克”Rootkit劫持病毒可能存在密切關聯,安全隱患不容忽視。我們呼籲廣大用戶安裝正版系統,避免不必要的安全損失。
二、技術分析
以下我們以"驅動人生一鍵重裝"為例進行分析,該軟件目前可在"驅動人生"官網下載,但數字簽名依舊為"廣州天行客網絡科技有限公司",其中內嵌的後門模塊為"InsNet.dll",該模塊使用VMP加殼保護隱藏後門代碼。
通過脫殼分析,該模塊所有導出功能函數共用同一個工作線程,通過標記序號執行信息上報、渠道配置等功能,其中就包括後門代碼,從相關日誌函數字符串非常明顯看出其後門功能身份,如此直白的惡意代碼也非常少見。
後門模塊優先從註冊表讀取後門服務器IP、端口配置,如果不存在則檢查註冊表中機器啟動次數、特定標記和控制域名"1.xitongss.com"的解析狀態,如果不滿足條件則繼續休眠,否則連接控制域名,通過自定義協議(RSA加密)獲取後門相關配置。
從目前控制域名的解析狀態和我們的跟蹤監控情況來看,該後門長期處於休眠狀態,但是安全風險不容忽視,我們在後門模塊中還發現該後門模塊和2015年肆虐網絡的“蘇拉克”Rootkit劫持病毒存在疑似關聯,極有可能是其重要傳播渠道之一。
如上圖,後門工作代碼指定的保護服務配置正是“蘇拉克(surak)”病毒,該病毒作為頑固劫持Rootkit曾經通過ghost系統、激活工具等渠道在2015年廣泛傳播,除了主頁鎖定、推送病毒,還通過系統預置、破壞系統安全機制等手法大範圍對抗安全軟件正常安裝使用。
我們嘗試通過該軟件安裝windows系統之後,發現預裝多款瀏覽器主頁均被篡改並安裝多款流氓插件,並且預裝的360等安全軟件的信任區被預先添加多款病毒、流氓軟件,這也是惡意裝機工具預置後門對抗查殺的常用手法。
三、安全建議
裝機工具、盜版ghost系統、系統激活工具一直都是惡意頑固木馬的傳播溫床,一般通過預置流量劫持類Rootkit木馬、預裝流氓軟件、篡改用戶主頁、安裝惡意瀏覽器插件等方式牟利,對用戶系統安全性造成極大隱患,我們建議用戶慎用此類風險軟件,目前毒霸可以有效查殺攔截此類裝機軟件後門。
四、IOC
域名/IP/URL:
<code>onekey.160.com/<code>
<code>*.xitongss.com/<code>
<code>hxxp://file1.updrv.com/soft/OnekeySetup/1.0.7.240/OnekeySetup_1111_1.0.7.240.exe/<code>
<code>hxxp://softdown.coumie.top:8010/HanBoShiV2_Install.exe/<code>
<code>hxxp://softdown.coumie.top:8010/HeiShaV2_Install.exe/<code>
HASH:
A0CADE54D6CD94A45901C93D4C197384
69D1BACE961BE35D7312064FCC181970
20B6F5BE730EA47C6ABBC76A249F5B88
57DA9932FA5BCBEB5C686913242A01D5
D7A2A5C87D6BBAA871046F93A7C31752
閱讀更多 事件觀察家 的文章
