近期騰訊反病毒實(shí)驗(yàn)室捕獲了一批針對(duì)性攻擊的高級(jí)木馬�,該木馬使用近期熱門的時(shí)事話題做誘餌,對(duì)特殊人群做持續(xù)針對(duì)性攻擊�,目前騰訊電腦管家已經(jīng)能夠準(zhǔn)確攔截和查殺該木馬。
圖 1. 騰訊反病毒實(shí)驗(yàn)室攔截到的部分木馬文件壓縮包
木馬介紹
該木馬主要通過郵箱等社交網(wǎng)絡(luò)的方式對(duì)特定用戶進(jìn)行針對(duì)性推送傳播,原始文件偽裝成常見的windows 軟件安裝程序�����,一旦用戶運(yùn)行了該木馬文件����,便會(huì)將包含 0day 漏洞的一個(gè)第三方軟件及相應(yīng)的庫文件釋放到指定目錄中��,同時(shí)釋放一個(gè)加密的數(shù)據(jù)文件到同一目錄下�。將含有針對(duì)性0day 漏洞攻擊的命令行參數(shù)傳遞給該文件執(zhí)行。隨后進(jìn)行自毀操作����,不留痕跡。
圖 2. 木馬安裝后將特定的第三方軟件文件釋放到磁盤指定目錄中
該木馬釋放出的所有 PE文件均為 9158多人視頻聊天軟件的模塊����,具有很大的用戶群,文件有完整且正確的該公司的數(shù)字簽名信息�。其中的science.exe 在解析命令行參數(shù)時(shí)存在緩沖區(qū)溢出漏洞,且編譯的時(shí)候未開啟 GS 等安全開關(guān)���,觸發(fā)后能夠執(zhí)行參數(shù)中攜帶的任意 Shellcode 惡意代碼����。這也是木馬找到這個(gè)白文件漏洞來利用的原因,用戶群體大�����,漏洞非常方便利用�。由于惡意代碼是在正常文件的內(nèi)存中直接執(zhí)行,同時(shí)在磁盤中駐留的文件均為正常軟件的白文件���,因此此木馬繞過了幾乎所有安全防護(hù)軟件���。騰訊電腦管家使用了云查引擎,第一時(shí)間發(fā)現(xiàn)并查殺該木馬���,同時(shí)已經(jīng)第一時(shí)間通知相關(guān)廠商修復(fù)該漏洞。
圖3.9158多人視頻軟件安裝目錄�����,對(duì)比發(fā)現(xiàn)��,木馬釋放的PE均在其中
木馬加載執(zhí)行的詳細(xì)過程
1、首先釋放文件到指定目錄��,共 5個(gè)文件����,其中 science.exe、DDVCtrlLib.dll�����、 DDVCtrlLib.dll均是9158多人聊天軟件的相關(guān)文件����,Config.dat是一個(gè)加密的數(shù)據(jù)文件,t1.dat是一個(gè)配置文件��。
2�����、帶參數(shù)運(yùn)行 science.exe�����,其中參數(shù)共 0×2003 字節(jié)����,隨后原始木馬文件進(jìn)行自毀操作
