<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("WAFNinja,WAF,渗透测试,测试工具,工具") PageTitle=stripHTML("窃听狂魔:隐藏在jar包之后的木马") ArticleIntro=stripHTML("近日哈勃分析系统截获了一批新型窃听木马 “窃听狂魔”, 该木马通常在打包后jar的Java Applet应用程序中,通过网页进行传播。") Articlecontent=stripHTML("该木马的主要功能是最大限度的窃取用户电脑上的信息,包括各种浏览器保存的账号密码,邮件,视频,各类语音交互软件的音频内容等。窃听信息种类之多, 覆盖的应用程序范围…") ModuleName = stripHTML("hack") InfoID = stripHTML("227277") ChannelShortName=stripHTML("Hack") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("hack") %> 窃听狂魔:隐藏在jar包之后的木马 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> Hack >> 牧马天地 >> 正文

[图文]窃听狂魔:隐藏在jar包之后的木马

2016/6/17 作者:腾讯电脑管家 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  该木马的主要功能是最大限度的窃取用户电脑上的信息,包括各种浏览器保存的账号密码,邮件视频,各类语音交互软件的音频内容等。窃听信息种类之多, 覆盖的应用程序范围之广,都是之前较为少见的。

  木马分析:

  1、jar包

  木马是打包成jar的Java Applet应用程序,Applet必须运行于特定的容器中,这个容器可以是浏览器本身,所以木马通过嵌入到html网页中,即可进行传播。

  1.png

  通过判断当前系统是windows还是mac, 选择释放不同的可执行文件。Jar包中携带的win既是PE文件。

  2、payload.exe分析

  Jar包中的win文件,重命名成payload.exe释放到了临时目录中。payload.exe运行后,释放了pe文件IZsROY7X.-MP, 此文件是一个dll, 是木马的核心文件。随后将IZsROY7X.-MP文件加载到自己的内存中,调用WriteProcessMemory将IZsROY7X.-MP的数据写入到了explore.exe 中。多次写入后,通过创建远程线程的方式,恶意代码在explore.exe的线程中开始运行。从下图看到,explore.exe调用CreateProcessAPI函数启动了rundll32。

C:\WINDOWS\System32\rundll32.exe "C:\DOCUME~\ADMINI~1\LOCALS~1\jlc3V7we\IZsROY7X.-MP",F1dd208

  下面详细分析IZsROY7X.-MP这个核心dll:

  2.png

  3、IZsROY7X.-MP分析

  在IZsROY7X.-MP导出函数F1dd208中。F1dd 208函数中会对一些杀软的驱动文件进行搜索,如果存在指定 的驱动文件,则会退出进程。这里的klif.sys和 kl1.sys 是卡巴斯基的驱动。除此之外,还检查了Avira,Como do等厂商的驱动 。

  3.png

  上图可以看到,木马会利用加密函数,将字符串或者Windows API的地址进行加密。这样增加了逆向时的难度。

  IZsROY7X.-MP最主要的功能是窃取用户的信息, 并将信息保存在日志中,最后通过http发送给服务器。下图展示了木马所窃取的信息类别。可以看到,木马尽其所能窃取一切能窃取的,除了常见的键盘、屏幕、上网账号等,还有VOIP语音信息等 。

  4.png

  下面对几个比较关键的功能,进行简要的分析。

  键盘日志

  木马获取到键盘的输入后,进行了一系列的判断与处理,随后将信息存入到了日志文件中。

  5.png

  6.png

  屏幕截图功能

  7.png

  WiFi信息

  木马调用WlanEnumInterfaces API,遍历当前周围的wifi,把wifi的ssid,bssid ,信号强度等信息存入到日志文件。

  8.png

  获取剪切板内容

  通过调用OpenClipboard,GetClipboardData等一系列API,获取剪切板的内容。

  9.png

  摄像头,邮件信息的获取,都是通过注册 com组件来完成。

  10.png

  11.png

  获取密码

  木马从主流浏览器中,获取用户上网时保存的网站账号和密码。

  12.png

  根据不同的浏览器,采用不同的方式来窃取信息,以chrome为例,chrome 将用户的账号和密码存储在了sqlite数据库中,木马通过sql语句来获取信息。

  13.png

  14.png

  硬件信息的获取,是通过读取了注册表来完成的。

  15.png

  VOIP语音通话内容获取

  木马针对不同的语音应用,保存并解析了用户的语音通话内容。

  16.png

  社交信息的获取

  木马会主动向facebook等主流社交网站发送请求,然后解析响应值 获取用户id,进而又查询了First_degree.php来获取用户的 好友列表。

  17.png

  以上是关于键盘,屏幕,浏览器等信息的窃取工作,木马还会对宿主的虚拟机进行感染。

  虚拟机感染

  18.png

  木马会查找虚拟机的配置文件preferences.ini,打开文件后查找后缀 为.vmx的文件路径。Vmx文件中保存着虚拟机镜像文件的路径地址,查找vmx文件,可以找到镜像文件vmdk的地址。

  19.png

  vixDiskMountServer.exe是虚拟机中用来挂载vmdk镜像的工具,木马通过查找注册表中的路径,找到vixDiskMountServer.exe,将vmdk重新进行挂载。

  20.png

  最后将木马打包进vmdk镜像中, 完成了对虚拟机的感染。

  21.png

  最后,木马利用网络,将用户信息日志发送给了线上的服务器。同时,木马修改了注册表启动项,完成开机自启的功能。

  不难看出,木马是通过嵌入在html的Applet来传播的,传播方式更为简洁。针对不同的系统,会释放不同的可执行文件,传播广度也更大。

  对windows系统而言,常见的用户信息被窃取后,对用户的隐私和财产来说都是严重的威胁。



  • 上一篇Hack:

  • 下一篇Hack: 没有了