Atbroker漏洞无限次触发 金山毒霸独家防御

2018-05-15 来源:金山毒霸安全实验室作者:金山毒霸安全实验室

    

    近日,金山毒霸安全中心发现微软进程atbroker.exe 存在漏洞,该漏洞可无限次触发。锁屏,触发UAC,用Cttl+Alt+Delete 快捷键都可启动,危害较大。


    一般情况下,病毒会利用添加启动项、计划任务、服务的方式来实现开机启动,达到留存和活跃的目的。然而,利用atbroker.exe系统进程,实现病毒开机启动的方式并不常见。虽然该手法在2016年7月已经有被曝光,但是被发现的在野攻击却不多。


    不久前,某网友机子上的某杀毒软件不停的提示有挖矿(zec币)程序在运行,删除恶意程序后,下次开机还是会不停的出现。金山毒霸安全研究员小欧在一番苦心挖掘下,终于摸清了病毒的自启、躲避杀软的攻击手法。本次抓到的样本,通过利用atbroker.exe自启病毒母体,然后通过rundll32加载恶意模块,最后实现文件的md5修改、释放和执行挖矿程序。



atbroker.exe介绍


    atbroker.exe(C:WindowsSystem32目录下),源于微软的“轻松访问中心”。”轻松访问中心”的一项功能是帮助用户启动辅助功能应用程序,常用的包括讲述人,屏幕键盘和放大镜。同时,这意味着第三方程序也可以通过注册“轻松访问中心”的方式来启动。这一机制使得病毒可以通过写注册表的方式,利用atbroker.exe启动恶意程序。


atbroker.exe的文件信息如下:


atbroker.exe 攻击手段


    早在2016年7月22就曝光了利用atbroker.exe运行恶意程序的方法,但是网上对利用该手法进行恶意攻击的文章不多。详情请戳:


http://www.hexacorn.com/blog/2016/07/22/beyond-good-ol-run-key-part-42/

https://msdn.microsoft.com/library/windows/desktop/mt826492

    

金山毒霸安全研究员小欧亲自测试,触发atbroker.exe启动,有以下几个场景:


锁屏或者登录时

开机启动时

运行atbroker.exe时

按下Ctrl+Alt+Del时

触发UAC时


    金山毒霸安全研究员小欧经过一番苦心研究发现:病毒作者用atbroker.exe启动的病毒进程参数是woshiyizhixiaomaolv(我是一只小毛驴),后续启动的病毒进程都用了woshiyizhixiaomaolv这个参数。



溯源


根据pdb路径暴露的QQ号,查到作者于12年毕业,活跃于看雪论坛,擅长windows驱动开发。



    金山毒霸安全研究员分析后发现,atbroker.exe 是病毒很好的藏身之地。病毒再通过改变MD5和白+黑手法,能绕过大部分杀软的查杀。触发atbroker.exe来启动病毒的场景很多,包括开机自启、锁屏、UAC和参数运行等。利用该机制,使得病毒能够轻松拉活自己并长期驻存在系统中。目前,金山毒霸可完美防御。



详细分析报告:

http://www.freebuf.com/articles/system/171437.html

QQ图片20170310085531_副本