【黑客技术】想成黑客必懂木马!欲练此功,必看此文…
1、背景
只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:
1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。
5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。
2、木马行为概述
2.1 来源与传播途径
经过对大量受感染用户的分析,我们发现该木马来源于不安全的网络,无任何系统漏洞的机器只要连接到这些网络后,在一段时间后会感染木马,经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时,更新包被替换成木马,导致电脑被入侵。木马传播示意图如图1所示。
图1. 木马主要传播途径示意图
2.2 木马安装流程
木马运行后会判断本机安装的安全软件,会检测多达43款安全相关软件,当检测到不同的安全软件后,执行不同的安装方式,以实现绕过安全软件的检测和拦截。经分析发现该木马主要有三种不同的安装方式,木马最终安装启动的方式为将核心dll释放到explorer同目录下,对其进行dll劫持启动。如图2中三种颜色分别代表三种不同的安装方式,经测试该木马能够绕过当前绝大部分安全软件的防御和拦截最终成功安装。
图2. 木马安装流程示意图
2.3 木马功能分解
该木马主要功能是窃取计算机各种信息,通过插件监控监听各种常用聊天软件的语音文字聊天信息,接受指令进行简单的远程操控,将自动化收集到的各种信息文件打包发送。如图3所示为木马功能一览。
图3. 木马功能一览
2.4 木马网络通信
该木马的网络通信方式与木马的传播方式相呼应,木马将收集到的各种信息打包成文件,随后将其加密并封装成DNS请求包,并将这些数据包发送到国内几大知名网站服务器。这样的通讯方式可以绕过几乎所有的防火墙、入侵检测产品,然而黑客如何取得这些数据包从而获得窃取的数据呢?经分析发现其封装的DNS数据包都有着相同且固定的数据包头,因此我们推测黑客会在数据包必经之路上对数据包进行拦截转发到黑客服务器,从而获得收集到的信息,如图4所示为推测出的木马通讯数据包投递流程。
图4.木马网络通讯方式推测
3、木马详细分析
3.1、安装释放
3.1.1母体结构
该木马的母体程序为一个exe可执行文件,通过网络劫持正常软件的更新程序而被下载执行,该文件中包含5个资源文件,均为简单加密的PE文件,其中141为x86版核心dll、142为lsp劫持dll、146为x64版核心dll、150为白加黑黑文件,151为白加黑白文件,以下将详细分析。
图5. 母体资源信息
3.1.2 适应多种系统,不同系统不同行为
判断操作系统版本,设置全局变量,随后将根据该全局变了进行大量的不同操作。
图6. 判断操作系统版本并设置标志
3.1.3 利用系统漏洞提权
判断当前系统是否为vista、win7等,如果是则检测当前进程是否具有管理员权限,如果没有该木马会尝试通过CVE-2011-1249将自身提升为管理员权限。该漏洞影响xp、vista、win7等多种版本操作系统。
3.1.4 对explorer进行dll劫持
通过注册表检测本机安装的安全软件,当目标系统没有安装安全软件时,木马将根据操作系统释放劫持dll到%windir%目录下对explorer进行劫持启动,在xp等系统下木马释放ntshrui.dll、在win7等系统释放msls32.dll,在win8等系统释放AduioSes.dll。随后启动一个新的explorer进程加载核心dll开始工作,此为第一种安装方式。
图8. 木马通过释放dll到explorer同目录进行劫持启动
3.2、对抗安全软件
3.2.1 暂存核心文件
如果检测到趋势等国际安全软件而又未检测到国内主流安全软件时,木马会将核心dll释放到%CommonProgramfiles%的一个子目录下,暂时存放。
图9. 暂时存放核心dll
3.2.2 释放dll并安装lsp
同时释放lsp劫持dll,并添加lsp,通过lsp,该dll可以注入到所有具有网络连接的进程中。在注入的进程中进行dll文件的移动,从而绕过安全软件,此为第二种安装方式。
图10. 释放lsp劫持dll
图11. 安装lsp
3.2.3 释放白加黑对抗杀软
当存在国内主流安全软件时,木马为了绕过针对lsp安装的拦截使用了白加黑技术。
图12. 木马释放白加黑两个文件,准备绕过主防
3.2.4 通过白加黑安装lsp过主防
木马通过白加黑技术,并加以一系列复杂技巧绕过主动防御实现安装lsp,经测试大部分安全软件的主动防御均被绕过。
图13. 通过白加黑绕过主防安装lsp
3.2.5 绕过杀软对explorer进行dll劫持
安装lsp后,相关dll便以lsp劫持的方式插入到所有联网进程中,包括svchost、浏览器、聊天软件、安全软件等。Dll加载后首先判断当前进程,符合条件则将之前备份的核心dll移动到%windir%目录进行劫持(重启后移动)。此为第三种安装方式。
图14. 将核心dll移动到%windir%目录进行劫持
3.2.6 加载核心dll
随后木马判断自身是否位于ie、svchost、杀软等进程,以进行不同的行为,同时尝试直接加载核心dll(如果没加载,劫持需要等系统重启后核心dll才会被加载)。
图15. 根据当前进程名决定是否立即加载核心dll
3.2.7 恶意操作杀软白名单,免杀
木马判断自身是否位于各种安全软件进程中,如果是则调用安全软件自身接口进行白名单添加,会将所有木马文件路径添加到杀软白名单中。经测试,涉及到的安全软件均能正常添加白名单。
图16. 某安全软件白名单添加相关代码
3.2.8 lsp阻止安全软件联网,阻断云查
通过lsp过滤函数对WSPSend、WSPSendTo函数进行过滤,当判断发包者是安全软件进程则直接关闭连接,阻止联网,阻断云查。
3.3、信息收集
3.3.1 收集网卡信息
收集的网卡信息包括网卡型号、网卡mac、网关ip、网关mac等。
图18. 通过发送arp包获取网关mac地址
3.3.2 收集系统安装的软件列表
木马通过注册表Uninstall获取计算机安装的软件列表信息,将获取的信息异或0×87后写入到C:\WINDOWS\Temp{E53B9A13-F4C6-4d78-9755-65C029E88F02}\soft.prog文件中,以下获取的信息无特殊说明都位于该目录下。
图19. 获取安装软件列表
3.3.3 截屏
获取当前屏幕快照,zip压缩后保存为time().v文件。
图20. 获取屏幕快照
3.3.4 收集磁盘文件目录
获取磁盘驱动器信息,包括全盘所有文件路径,获取后zip压缩到drive.d文件中。
图21.获取磁盘文件信息
3.3.5 收集IE历史记录
通过com获取浏览器历史记录信息,存储到ie.his
图22. 获取浏览器访问记录
3.3.6 收集设备信息
遍历系统设备,判断是否有笔记本电源适配器、摄像头、麦克风三种设备,将结果加密写入到time().hd文件中。
图23. 遍历系统设备
图24. 判断是否有指定设备
3.3.7 针对浏览器进行键盘记录
安装WH_GETMESSAGE全局钩子,安装后理论上所有具有消息循环的进程均会加载此dll,并调用钩子函数,在钩子回调中,判断当前进程是否是Iexplorer.exe、360se.exe、SogouExplorer.exe三种浏览器进程,如果是则进行键盘记录,记录的包括按键信息、窗口标题,通过imm32.dll该方法还可以记录中文输入,记录到的信息存为(日期+时间).k文件。
图25. 安装钩子
图26. 只记录指定浏览器进程的键盘输入
3.3.8 收集gmail信息
在记录键盘时,当判断以上浏览器窗口中含有Gmail字符时,会启动一个线程专门收集Gmail信息,会加载相关插件,尝试通过Imap协议下载服务器上的所有文件。
图27. 判断是否正在登录gmail
图28. 通过插件尝试通过IMAP协议收集数据
3.3.9 加载插件收集各种IM相关信息
通过进程名判断skype.exe、cc.exe、raidcall.exe、yy.exe、aliim.exe等即时聊天、语音聊天软件,加载相关插件对此类聊天软件进行监听监控。
图29. 根据im软件进程名加载相关插件
图30. 通过插件的接口可猜测相关插件主要用于监控聊天信息
图31. 木马针对所有常见通讯软件均做了监控
3.4、网络通讯
3.4.1通讯协议
此木马最诡异的地方是通讯方式,该木马没有C&C服务器,所有的数据均伪装成DNS包发送到www.baidu.com、www.sina.com、www.163.com域名所在服务器的53端口或者8000端口。黑客要想获取这些数据包,必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。
图32. 木马的数据包均发送到www.sina.com等服务器上
图33. 木马使用udp协议通讯,目标端口为53或者8000
图34. 木马伪装成DNS协议数据包,每个包都有固定的包头作为标记
图35.嵌入到DNS协议中的木马数据,即使专业的网络管理员,也难发现异常
3.4.2 自动上传收集到的文件
所有木马自动收集的文件,木马插件生成的文件都会被定时打包编号并发送出去。
图36. 定时读取相关文件,打包编号发送出去,发送成功后会删除相关文件
3.4.3 远程控制
木马还会绑定本地一个udp端口,并不断尝试收取指令,进行远程控制,主要的远程控制功能包括cmdshell、文件管理、插件管理等。
图37.绑定本地一个udp端口
图38. 不断尝试收取控制指令
图39. 远控功能
4、木马信息
4.1安全软件
木马检测到多达43款安全软件,涵盖了国内全部的安全产品及国外较有名的安全产品,从安全软件来看,该木马主要针对国内用户。
图40. 木马检测的安全软件列表
4.2 其它信息
从木马的互斥体、调试信息等可看出DCM应该是该木马的代号,但是什么的缩写的?这个还真猜不出来。
图41. 木马中的字符串信息
5、安全建议
软件厂商:下载更新程序尽量使用https等安全加密的通讯协议,对下载回来的文件在加载运行前一定要做签名校验。
用户:尽量不要使用安全性未知的网络上网,如公共WIFI、酒店网络等,如果怀疑自己的网络有问题,及时与运营商反映。此外安装安全软件可在一定程度上防御此类攻击,目前管家已率先查杀该木马及其变种。
互动话题:如果你想学习更多网安方面的知识和工具,可以看看以下题外话!
题外话
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
下面给大家分享一份2025最新版的网络安全学习路线资料,帮助新人小白更系统、更快速的学习黑客技术!
一、2025最新网络安全学习路线
一个明确的学习路线可以帮助新人了解从哪里开始,按照什么顺序学习,以及需要掌握哪些知识点。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
我们把学习路线分成L1到L4四个阶段,一步步带你从入门到进阶,从理论到实战。

L1级别:网络安全的基础入门
L1阶段:我们会去了解计算机网络的基础知识,以及网络安全在行业的应用和分析;学习理解安全基础的核心原理,关键技术,以及PHP编程基础;通过证书考试,可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别:网络安全的技术进阶
L2阶段我们会去学习渗透测试:包括情报收集、弱口令与口令爆破以及各大类型漏洞,还有漏洞挖掘和安全检查项目,可参加CISP-PTE证书考试。

L3级别:网络安全的高阶提升
L3阶段:我们会去学习反序列漏洞、RCE漏洞,也会学习到内网渗透实战、靶场实战和技术提取技术,系统学习Python编程和实战。参加CISP-PTE考试。

L4级别:网络安全的项目实战
L4阶段:我们会更加深入进行实战训练,包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握;而L3 L4更多的是通过项目实战来掌握核心技术,针对以上网安的学习路线我们也整理了对应的学习视频教程,和配套的学习资料。
二、技术文档和经典PDF书籍
书籍和学习文档资料是学习网络安全过程中必不可少的,我自己整理技术文档,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,(书籍含电子版PDF)

三、网络安全视频教程
对于很多自学或者没有基础的同学来说,书籍这些纯文字类的学习教材会觉得比较晦涩难以理解,因此,我们提供了丰富的网安视频教程,以动态、形象的方式展示技术概念,帮助你更快、更轻松地掌握核心知识。
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛
学以致用 ,当你的理论知识积累到一定程度,就需要通过项目实战,在实际操作中检验和巩固你所学到的知识,同时为你找工作和职业发展打下坚实的基础。

五、网络安全工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

面试不仅是技术的较量,更需要充分的准备。
在你已经掌握了技术之后,就需要开始准备面试,我们将提供精心整理的网安面试题库,涵盖当前面试中可能遇到的各种技术问题,让你在面试中游刃有余。
如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…


**读者福利 |** CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
扫一扫
1138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
