名为“超画”实为暗刷

2020-03-05 来源:安全豹作者:安全豹

近期毒霸“捕风”威胁感知系统捕获到一新型暗类刷恶意程序,其宿主为一款名为“SuperPaint”的流氓软件,遂取名“超画”。目前通过各大下载器捆绑传播,近几个月的感染趋势如下​:


通过相关域名和代码关联发现,与我们之前报道过的另一款暗刷木马IECode有联系,可谓是孪生兄弟,可以确定为同一伙人所为。但在隐蔽性和功能性上都有了一定的提升,通过捕获的二级云控模块来看,其功能框架非常完善可模拟 pc, android, ios三大平台浏览器访问数据包。通过加载三级云控模块miniblink浏览器内核执行云控暗刷指令。其云控请求采用httplib库使用私有证书进行https通讯,隐蔽性大大增强。


三次启动自身

“超画”的暗刷功能潜藏在更新程序 Updater.exe中,在运行过程中会三次启动自身执行功能:

1.首次运行时会检查“USERDOMAIN_ID”环境变量是否存在,不存在就创建新Updater.exe进程,并设置进程新环境变量值2:0,其中“:”前面的值有3种情况0,1,2。0和1代表需要内存执行,2代表请求云控数据,“:”后的值为文件映射句柄,在内存执行时会读取它。

2.第二次运行时再次检测环境变量,会按环境变量的值引导进入云控请求。 解密出内置的url通过httplib库进行post请求。请求时会对数据进行序列化,其中会附带检测到的杀软进程和需要检测的进程信息,使用私有SSL证书加密传输,服务端会根据这些上报信息决策是否下发云控模块。如果下发则会在返回的数据中附带二级模块url下载链接,根据url下载模块创建文件映射写入共享内存,并第三次创建Updater.exe进程,设置新进程的环境变量为映射句柄。




3.第三次启动时读取环境变量值“:”后携带的映射句柄,在自身进程映射读取共享内存,调用wecod.dll导出函数内存执行。



对抗分析

“超画”在对抗分析层面做了充足的功夫,大量使用各种反调试技巧,尤其在一些核心流程数据加解密处,会主动抛异常走异常流程处理。



同时该程序的代码执行流程也非常有特色,所有要执行的函数都是动态分配内存填充函数地址,然后通过跳转函数取偏移执行下一层功能,层次最大可达十几层。通过此方式可以防止IDA交叉引用追溯。每一个层分为功能执行和下层入口点。通过跳转函数先执行完本层功能后再进入下层,如此循环。而且此种调用方法只在”暗刷”流程中使用,其它流程均正常。


三平台通杀

通过下发的二级模块wecode.dll 来看,它的功能非常完善,一般暗刷都是模拟的pc端浏览器访问,但是它除了可以模拟pc端常见的浏览器外,还可以模拟 Android, iOS移动端的浏览器访问。支持模拟现有主流的手机HUAWEI ,IPHONE, SAMSUNG,Redmi, XiaoMi,OPPO等上千款型号。



随着需求的增长,IE内核已然不能满足他们的需求了,一款优秀小巧的浏览器内核miniblink成为了他们新的利器,miniblink号称全球最小的基于chrome的内核,miniblink.dll有着丰富的api接口可以精确的设置模拟鼠标点击网页元素,滚轮浏览网页,网页编辑框输入信息等功能。在wecode.dll中通过内置的url 下载数据包,数据包内含暗刷配置和微型浏览器内核miniblink.dll,通过内存加载执行暗刷任务。



总结

之前对于暗刷类型的治理法律上并不完备,给许多流氓团伙有了可乘之机,目前国家互联网信息办公室于2019年12月15日发布《网络信息内容生态治理规定》自2020年3月1日起已经施行,《规定》第四章第二十四条:网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及假的注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。此规定的出台为层出不穷的网络暗刷打击提供了法律依据。目前毒霸已经对其一系列家族进行查杀。



IOC:

MD5:

50F5C5738112101100211712CEC4C5C5

0F37EBE0A710F269ADCFF0D918B5C8B7

URL:

https[:]//u1.ppdsb23.com:11223/avatar.jpg

http[:]//dw1.ppdsb23.com:11224/conf/tne3.dt

http[:]//dw1.ppdsb23.com:11224/conf/tne4.dt

http[:]//dw1.ppdsb23.com:11224/conf/tne5.dt

签名:

Henan Miying Network and Technology Co., Ltd