又是下载器:“Mint”木马再度来袭

2020-06-19 来源:金山毒霸作者:金山毒霸

0x1概述

近期,毒霸安全团队通过“捕风“威胁感知系统监控发现“Mint木马”家族借助下载器再度活跃,该家族最早由毒霸团队于2018年发现并披露《Mint木马变种泛滥,伪装“抖音电脑版”肆虐网络》,但是近两年该家族并未彻底灭绝,依旧存在于各大下载站,利用高速下载器进行传播。该木马主要以主页劫持、软件推广、广告弹窗和图标推广为主,因其早期会在用户磁盘中创建“Mint”的目录,保存云控插件,所以我们特此命名为“Mint”木马。


本次变种宿主是“土豆截图”,由“多特下载站”的高速下载器进行传播,由于目前国内安全厂商对于利用下载器进行传播的恶意软件进行集中打击,导致该木马执行更加隐蔽、检测也更加小心。本次木马变种为了更加隐蔽执行,仅执行模块嵌套加载就达六层以上,傀儡进程注入就有三次。所有的核心模块和配置文件都是从云端获取,注入系统进程执行,在地域规避上包含了各大安全公司和下载器厂商(北京、上海、深圳、广州、昆山、珠海、武汉、马鞍山、南京、苏州、天津),从本次获取的配置文件发现为了尽可能的减少受害用户的感知,减少了广告弹窗和图标推广。本次变种行为大致与上次报告相同,但本次变种着重于软件推广,所以这次就概述下云控配置和推广。

执行流程

流程图

0x2详细分析

环境检测

母体下载器通过解密出来的模块执行cmd命令调起安装程序,再利用注册表、文件和进程关系来检测是否存在沙箱、虚拟机、调试和杀软环境,后通过父进程来检测是否是从浏览器启动安装程序,傀儡进程注入systray.exe。

2

云控模块下拉配置

注册服务,设置开机启动服务,重启后服务组件加载之前释放的云控载体,载体释放云控模块并启动傀儡进程注入到svchost.exe内进行配置下拉解密。

3)

以下为解密的配置文件Version.ini,在本次获取的配置文件中主要包含三类文件的下载地址,分别为推广配置文件、核心功能模块(按照配置文件执行推广操作)和云控载体(变异更新)。

4

解析配置文件各个字段,获取推广配置文件Config_xx.ini、核心执行模块Lsvt.dat和检测更新云控载体模块Lds.dat,并且将LSVT.dat解密注入到傀儡进程中执行。

5

更新变异

云控模块从配置文件中获取最新载体的下载地址(demsvcurl=http://core.weintds.com/Lds.dat)保存到临时文件目录下,复制到系统目录下并通过劫持wuauserv系统服务的方式,实现自更新和启动,

6

 

核心功能模块Hsvt.dat

篡改用户主页

IE浏览器通过修改注册表来篡改用户主页,其它市面上的浏览器是通过遍历桌面快捷方式匹配浏览器的快捷方式,通过使用“CShellLink”接口修改"link"文件中默认打开网址,实现网页劫持。

7

针对篡改的浏览器​如下:

8

 

推广篡改页的配置信息,篡改URL最终跳转到“https://www.2345.com/?30308

9

 

软件推广

本次变种共推广37款软件,同样规避北京,上海,深圳,广州,昆山,珠海,武汉,马鞍山,南京,苏州和天津,以下为推广配置中的部分配置信息。

a

以下为推广软件列表:

b


广告弹窗

本次变种获取的推广配置文件中未发现弹窗链接,估计为了更加隐蔽不引起用户注意使用才没有推广弹窗。

c

 

图标推广

图标推广并未开启,配置中的推广数据依旧停留再去年的双十一活动。

de

 

0x3总结

本次最大的传播渠道依旧是多特下载站,尽管现在各大安全厂商对高速下载器进行高度打击,依旧还是无法阻止各大下载站诱导用户下载安装,所以提出以下几点建议。

· 安装杀毒软件开启病毒防护

· 不要在多特软件站下载任何软件,因为该网站大部分软件的安装包都被修改过,存在流氓推广行为

· 下载所需要的软件时,尽可能的到软件的官方网站下载

· 所需的软件如果没有找到官方网站,在使用其它三方下载站点时,尽量选择普通下载,切莫选择高速下载(多特软件站不适用此条),下载完之后检查文件签名是否正确

· 毒霸的软件管家中的软件都是经过严格审核,可以放心下载

f

附录ICOs

《Mint木马变种泛滥,伪装“抖音电脑版”肆虐网络》

http://bbs.duba.net/thread-23530889-1-1.html

 

URL:

http://core[.]weintds[.]com/Lds[.]dat

http://ver[.]lctgshzs[.]com/Version[.]ini

http://core[.]weintds[.]com/Lsvt[.]dat

http://cfg[.]nuosensujiao[.]com/Config_xx[.]ini

https://url[.]cn/58dJPlw?dhruw84

https://www[.]2345[.]com/?30308

http://ip[.]ws[.]126[.]net/ipquery

http://whois[.]pconline[.]com[.]cn/ip[.]jsp

http://act[.]xiaochengwaimai[.]com

http://plg[.]xw-wd[.]com/PopNews[.]dat

http://down[.]cnmineral[.]cn/

 

MD5:

36148D65B011CB5D6AD4183B8A7857BD

40084275658C193954556BFC7BACB62A

033EB1C841378EF45148D1377030C3E7

D2287F3E514A94B572C7C15CC919442C

DF0A0638D28BEFC49E587A638A870B31

B065447524B93838F6623B892F7F3200

F4DB4EC7EE6D64AE90357522B7329586

7690458D216B143E00AA2017FA299498

DCDEC15483EAB9388DC5910E9CD6CD2A

6318C2AC85CF940F6F6EFFC5358268A5

09DD718451BD69D29F6C33946F0FB381

928C5109D84924E9A0A3E930ABD7F2E3

98B709508DEB915DDE3CE1547519217E

C07B8FBCAEB326D755067495EDA45799

5CE2C6877544C446C0F8C3CEAF267CC0

FFE372C775F0333BB69854CD8A9648E4

 


上一篇: