你还在用加了"黑料"的激活工具吗?

2020-03-12 来源:安全豹作者:安全豹

1. 事件概述

如今互联网生态中, 流量就等于利益, 而浏览器的主页是用户上网的必经之路, 所以也就成了木马们劫持流量的下手点, 其中利用Ghost系统, 激活系统工具捆绑作为传播渠道的木马更是屡见不鲜, 而近日金山毒霸团队捕获到一只正在活跃的Rootkit锁主页的木马,该木马使用多种技术隐藏执行,捆绑在一款"暴风激活"的系统激活软件上,利用使用者在激活系统时未安装杀软的间隙,静默执行病毒达到锁定主页牟利的目的,经过分析发现该木马是"蜗牛锁首"的变种,而此次变种木马对所有关键模块都增加了VMP保护,大大提高了分析难度以此来提高对抗成本,根据金山毒霸后台监控数据表明,已有上千台电脑中招。

image1


目前,金山毒霸安全中心已经针对此木马加强了清除和防御措施,可使用金山毒霸有效检出和清理该木马,并可以拦截其针对主流浏览器的恶意篡改,请谨用此类激活系统的工具软件,安装金山毒霸保持开启,建议使用正版软件,以避免收到类似的病毒威胁。


2. 行为简概

被劫持的主页:


行为总览:


3. 模块分析

暴风激活工具.exe

使用AutoIt打包的exe, 就是把008.exe(病毒母体)和bb.exe(暴风激活原程序)释放至temp目录执行


可以使用Exe2Aut把au3脚本提取出来, 逻辑更加清晰可见


008.exe(病毒母体)

获取计算机名称, 生成文件为[name]_config.dat锁主页的配置文件, 其中包括劫持的主页网址和浏览器, 时间版本等信息, 并且根据本地机器信息计算唯一hash动态填充md5字段和时间等信息,  使用zlib压缩后保存到至C:\Program Files\Common Files\System\ado


[name]_config.dat 模版


生成后的文件, 解压后可以看的到填充后的配置更新时间, 配置hash等信息


该模块还会根据当前系统版本位数, 释放HomePage.dll至CorePage.dat 至 C:\Program Files\Common Files\System\ado


通过注册表把 HomePage.dll 以com组件注入explorer.exe中


之后释放unit.bat, 删除自身并开启管理员权限


病毒母体的具体执行逻辑



HomePage.dll(加载器)

该模块主要是个加载器, 主要的功能是把HomePage.dat解压, 通过傀儡进程的方式加载到Explorer.exe进程


HomePage.dat(加载器)

该模块也是加载器, 用于加载CorePage.dat, 但是如果CorePage.dat不存在, 则会去尝试下载更新CorePage.dat模块 


CorePage.dat(锁页主逻辑模块)

通过检测硬盘Model Number是否含有“vmware”,“virtual”,"qemu"等字样来实现检测虚拟机的功能 


创建一个Dialog窗口, 在根据msg命令执行不同的命令


创建根据本地机器信息, 计算hash值, 去服务端下拉更新的config 

读取之前生成的[name]_config.dat,  因为本模块已经注入在explorer.exe中, 所以通过hook CreateProcess来添加启动参数, 达到劫持浏览器首页的目的 


通过hook CreateProcess Hook劫持的浏览器列表 


使用COM Elevation Moniker提升进程权限,  pass uac后, 再使用远程线程注入系统进程 sort.exe

 


释放mini32.dat至 C:\Program Files\Common Files\System\ado, 该模块是个劫持dll, 实际测试并没有启动


把在资源中的驱动文件, 异或0xA释放至 C:\\Windows\\System32\\drivers\\HomeProtect.sys并加载该驱动 


HomePage32.sys(驱动)

该模块关键代码全部采用了VM保护, 导致无法正常分析其逻辑, 从行为监控与dump出来的字符串来看, 该模块主要的功能

1.创建注册表回调, 保护注册表

2.通过MiniFilter隐藏自身模块

3.注入其他浏览器进程


Mini32.dat(未使用) 

Hook LdrLoadDll遇到搜狗, IE, Chrome, Opera浏览器加载模块, 劫持进程命令行

  


IOC:

MD5:

6e587b393099d5c6a46cc35dc0eddf99

 

URL:

http://tools(.)khs188(.)com/getIp(.)php

http://tools(.)khs188(.)com/lockhome/statick(.)php

http://tools(.)khs188(.)com/lockhome/countcomp(.)php

http://tools(.)khs188(.)com/lockhome/getMd5Ver(.)php