Kuzzle变种来袭,当心浏览器被病毒劫持!

2020-04-29 来源:金山毒霸作者:金山毒霸

一. 概述

近日毒霸安全团队通过"捕风"威胁感知系统再次监控到"Kuzzle"木马家族传播活动,该家族在2017年被国内安全厂商分析披露,主要通过SEM诱导、软件下载器等渠道伪装传播,并且善于利用数字签名盗用、内存加载、Rootkit/Bootkit等多种技术手段隐藏自身对抗安全软件,在技术框架上比较成熟,病毒云端推送的功能模块多用于主页劫持等恶意行为


本次我们捕获的"Kuzzle"木马家族新变种以"流星速记(ShortPad)"流氓软件为母体,借助"多特下载器"家族的后门服务模块进行传播,新变种除了加强对国内主流杀软的检测规避,整体技术架构没有较大幅度改动,不同的是,该家族历史传播活动大多是进入高峰期才被发现披露,本次传播活动还处于潜伏期,相关云控配置尚未激活,从我们的监控数据看,病毒团伙还在对传播渠道进行反复测试调整。


目前,金山毒霸安全中心已经针对此木马加强了清除和防御措施,可使用金山毒霸有效检出和清理该木马,并可以拦截其针对主流浏览器的恶意篡改,安装金山毒霸保持开启,以避免受到此类的病毒威胁。


二. 流程简介

 

三. 模块分析

ShortPad_119.exe (安装包模块)

该安装包必须通过 "-sosos" 命令行参数并且检测机器有没有安装杀软, 才能正常启动恶意流程

 

通过Shellcode解密资源"wrc.dat", 释放"vagrant.sys"到系统drive目录

通过注册表注册驱动, 并且通过设置"SystemReserved"字段把自身驱动启动等级设置为最高, 保证驱动加载优先级高于杀软的驱动

 

之后会释放一些加密资源, 为后续流程提供加载使用


最后释放bat删除自身

 

vagrant.sys (驱动加载器)

该驱动只是个加载器, 主要负责在内存中解密, 修复主逻辑驱动"main.sys", 最后调用"main.sys"的DriverEntry达到动态加载的目的

 

该模块通过对Hive对象的CmpFileWrite回调hook, 把自身驱动注册表项伪装成了一个USB扩展驱动用于对抗分析

 

main.sys (主逻辑驱动)

该模块为业务主逻辑模块, 主要工作是注册 "模块加载回调", "进程创建回调", "线程创建回调",  用于劫持浏览器主页, 解密soflor模块, 注入Explorer控制更新配置和下载执行新模块

 

soflor.sdv.exe (更新模块)

该模块主要负责更新配置文件与新模块, 在执行操作前, 会对系统中的所有进程进行遍历, 如发现"金山毒霸","电脑管家", "瑞星杀毒", "360杀毒", "360安全卫士"等杀软进程则不触发行为

 

 

而更新的方式则是通过定时联网请求, 请求更新前会读取"soflor.ncf"配置生成命令行参数, 参数中会携带一些本机模块的基本信息

 

目前该渠道的木马处于传播期, 并未开启更新模块和配置开关, 从回复的包中可以看到"downloadurl"字段代表更新的模块与配置文件, 而"mainpage"则代表需要劫持的主页地址, 而这两个字段目前在回复的包中都是为空的状态

 

而作者显然不只是想劫持浏览器主页, 为了执行更多的操作, 内置一份执行后门, 用于解密&执行云端动态下发的模块

 

四. 总结

Kuzzle木马采用多种技术来伪装和隐藏自己, 为了躲避杀软和分析人员的追查, 精心设计从3环到0环再到3环的加载执行逻辑, 为了执行更多的操作, 留有云端执行后门, 威胁性可以说是非常的高, 建议大家常开杀毒软件, 避免遭受此类木马病毒的侵害。

IOC

MD5:

4EA531B34D8291E150252E85C4994A72

URL:

http[:]//www.dwz1953.xyz/1.dll