您现在的位置: 华盟网 >> Hack >> 牧马天地 >> 正文

[图文]Free Star木马分析与追溯

2016/4/6 作者:360天眼实验室 来源: 网络收集
导读 360天眼实验室一直与各种木马远程做斗争,对手总是试图找到办法使自己处于安全监视者的雷达之外。

      

  近期我们看到了一些较新版本的大灰狼木马采用了一种新的上线方式,与利用QQ空间、微博、博客或者网盘等方式上线相似,其通过调用QQ一个获取用户昵称的接口来获取上线地址,又一种通过正常通信渠道进行非正常通信的企图。

  图片1.png

  图片2.png

  当一个方法被证明有效,很容易就会被其他造马者“借鉴”。通过基于360威胁情报中心数据的关联性分析,我们发现了一个名为Free Star的木马也采用了这种上线方式,该木马最早出现于2015年2月左右,作者从2015年5月开始在各个免杀论坛售卖源码,而新版本活动时间就在2016年1月份至今。其部分代码结构和Gh0st、大灰狼的代码比较相似,可以认为是那些远控的衍生版本。

  下图为从某免杀论坛下载到的Free Star木马控制端,可以看见配置Server端中需要将IP地址加密后设置成QQ昵称,然后由服务端通过访问对应的接口来获取QQ昵称,进而解密木马上线的IP地址:

  图片3.png

  访问的接口如下:

  图片4.png

  今天我们要分析的对象就是这个名为Free Star的木马,这个也是360天眼实验室新晋小伙伴的处女作。

  样本分析

  样本信息基本识别信息如下,供同行们参考。

  木马文件MD5: c3d7807f88afe320516f80f0d33dc4f3、a1bb8f7ca30c4c33aecb48cc04c8a81f

  分析得到木马主要行为总结:

  添加服务项,开启服务,转移自身文件

  用gethostbyname函数获取上线地址或访问QQ昵称接口获取木马上线地址,并进行网络连接

  检测杀软进程

  开启线程接收指令,执行远控功能

  添加服务项,开启服务,转移自身

  文件木马首先判断是否已经注册了服务项,如果没有注册,进入自拷贝、创建服务的流程:

  图片5.png

  创建服务

  图片6.png

  图片7.png

  调用StartServiceA开启服务,进入主功能流程

  图片8.png

  再拷贝自身,移动到%appdata%中指定目录

  图片9.png

  创建自删除脚本并执行,用于删除自身文件以隐藏自身

  

图片10.png

  图片11.png

  脚本内容如下:

  图片12.png

  获取上线地址

  以服务项启动进入时,通过注册表对应的项判断服务是否存在,决定是否进入开始进行网络连接。

  图片13.png

  解密动态域名、QQ号、端口号:

  解密算法是Base64解码后,异或0×88 ,加0×78,再异或0×20

  图片14.png

  获取IP地址

  图片15.png

  图片16.png

  如果第一种方式不成功,则通过访问QQ昵称接口获取IP地址:

  图片17.png

     图片18.png

  获取到的QQ昵称为: deacjaikaldSS

  

     图片19.png

  对获取到的QQ昵称解密解密算法是 + 0xCD

  图片20.png

  解密后取得IP地址为: 1.207.68.91 ,开始连接:

  图片21.png

  循环连接这两个地址直到连接成功,连接成功后进入远控流程

  获取受害者系统信息

  首先获取主机名

  图片22.png

  获取CPU型号

  图片23.png

  获取其他信息等等

  图片24.png

  遍历进程,查找杀软进程

  图片25.png

  检查杀软的进程名用一个双字数组来存储,每个双字的值是指向对应杀软进程名的字符串的指针。如下:

  图片26.png

  图片27.png

  创建新线程,用于循环等待接收远控指令

  图片28.png

  最后创建一个新的线程,用于接收远控指令,主要的功能有远程文件管理、远程Shell、屏幕监控、键盘记录等等,这里就不再赘述了。代码整体流程图如下:

  图片29.png

  幕后黑手

  这种通过QQ昵称获取上线地址的方式在躲避检测的同时也暴露了放马者的QQ号,我们在通过样本拿到的QQ号中找到了一个比较特殊的:550067654

  图片30.png

  通过搜索引擎,我们发现这个QQ号有可能是木马作者的一个业务QQ号,这个QQ在多个免杀论坛上注册了账号,经过进一步的确认,发现其的确是木马作者:

  图片31.png

  图片32.png

  图片33.png

  从作者在某论坛上展示的木马功能截图可以发现,其曾经在贵州毕节地区活动。

  图片34.png

  图片35.png

  我们还发现作者用QQ邮箱账号注册了支付宝账号,通过支付宝账号的信息,发现作者的名字可能是: *怡

  图片36.png

  通过某社工库,我们找到了作者经常使用的qq邮箱和密码,通过这条线索,我们找到了更多的信息:

  图片37.png

  在某商城发现了几笔订单信息,从而取到作者的名字、常在地区:

  图片38.png

  图片39.png

  图片40.png

  图片41.png

  从身份证信息来看,确定作者是贵州毕节地区的人,名字就叫田怡。这也与上面获得的信息一致。

  关于木马作者的追踪到此就告一段落了,有兴趣的同学们可以继续深挖,用一张天眼威胁情报中心数据关联系统生成的关系图来结束此次挖人之旅。

  图片42.png

  传播途径

  分析完样本和木马作者之后,我们再看看该类木马的传播途径。

  在我们捕获到的众多样本中,有一个样本访问的地址引起了我们的注意,通过关联,发现这是一些挂机、点击软件访问的地址,http://sos.hk1433.cc:10089/bbs.html

  图片43.png

  打开网页后,查看源代码,如下:

  图片44.png

  可以看到,这个页面加载了一个swf文件。将这个swf文件下载后打开,发现是Hacking Team的flash漏洞利用,下图红色框出的部分就是ShellCode:

  图片45.png

  ShellCode的功能就是一个Dropper,会将之前解密出来的PE释放并执行,而这个PE文件正是Free Star木马。解密前的PE文件:

  图片46.png

  解密后:

  图片47.png

  ShellCode:

  图片48.png

  由此我们可以知道,该木马的传播方式之一即是通过网页挂马。通过上图可以看到挂马页面在3月28日上午9点上传,截至我们写这份报告的时间,3月29下午16点,点击量已经有13000多,而这仅仅只是冰山一角,但是在这里就不再深入。在我们的360威胁情报中心可以很容易地通过关联域名查询到对应的样本:

  图片3.png

  总结

  通过这次分析,我们发现这个木马本身所用到的技术相当普通,与之前发现的木马基本一脉相承,体现出迭代化的演进。由于巨大的利益驱动,黑产始终保有对技术和机会的高度敏感,就象任何先进的技术首先会被用于发展武器一样,成熟可靠的漏洞利用技术及躲避检测的方案几乎肯定会立刻被黑产所使用传播。

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇Hack:

  • 下一篇Hack: 没有了
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴