你所在的位置: 首页 > 正文

祸乱”僵尸网络牵连25万电脑用户 360安全大脑强力查杀

2019-07-11 点击:1294
澳门银河手机版

“打破”僵尸网络牵连25万计算机用户360安全大脑强力杀戮

最近,360安全脑监测发现了一个大型僵尸网络,它感染了超过250,000台计算机 - “灾难”。在可追溯性之后,僵尸网络被“Urban Rabbit View”,“Cool Watch精选壁纸”,“Le Fish Cool Search”和其他流氓程序在后台默默地发送。与其他僵尸网络类似,“灾难”僵尸网络的所有者可以通过云向受害者的计算机发送不同的病毒模块。

值得注意的是,这场“灾难”的发起者是一个“仙女迷”,因为“灾难”僵尸网络配备了两种“丰富的流量”和“挖掘”。病毒模块通过两层皮肤的手段,发誓要挤压受害者计算机的所有价值。但是,大多数用户都可以松一口气,目前360安全卫士已经实现了这种特洛伊木马的强大杀戮。

美国打破了互联网,事件不稳定。僵尸网络再次携带采矿特洛伊木马。

从这场“灾难”可以看出,网络攻击的实际危害不再是“小战斗”,其规模和破坏强度足以引起共同关注。早在2016年,美国就遭遇了大规模的僵尸网络攻击。攻击者接管了超过500,000个路由器并发起了拒绝服务攻击,直接命中twittr,github,reddit和《纽约时报》。美国主流网站引发了一场耸人听闻的“美国脱节网络事件”。

更令人不安的是,近年来,当僵尸网络发动攻击时,出现了“商业化”并且变得越来越隐蔽的明显趋势。诸如挖掘特洛伊木马和交通黑暗画笔等恶意程序都被僵尸网络的“东风”潜入用户的计算机中,沉默的形式是很多不幸的伎俩。计算机只能在不知情的情况下被屠宰。

深入分析了原有的“灾难”,偷偷摸摸地走到了尽头

通过对“灾难”的深入分析,我们可以直观地感受到当前新趋势下僵尸网络的强大“破坏价值”。

下图显示了“灾难”僵尸网络的实施框架:

44e33c543d8045bb99f4038c2a2fb089.jpeg

感染

“灾难”僵尸网络由流氓软件流程传播,如“兔子看图片”,“酷观精选壁纸”,“乐鱼酷搜索”等。我们把“好兔子看看图片”作为分析感染过程的一个例子。

当用户安装兔子时,安装程序将在安装目录中释放YotuaTask32.dll特洛伊木马文件,并使用rundll32.exe调用其导出函数CheckUpDate()。导出功能将本地信息发送到CC服务器以请求shellcode。执行时,相关的代码逻辑如下:

51209f22f871487cb10a4b4e25704b38.jpeg

检查shellcode的校验和并解密shellcode以加载它。相关代码的逻辑如下:

14b9d3d5e03e47b498fdb4e0b62ba91e.jpeg

shellcode注册不同的病毒服务并执行不同的病毒进程。

黑刷

Srvany.exe是Microsoft Windows Kits工具集的实用程序小程序,它将任何可执行文件注册为服务,并以SYSTEM权限启动。 “灾难”僵尸网络利用此功能,允许启动的病毒进程具有注入诸如services.exe之类的系统进程的权限。

该病毒使用srvany.exe注册病毒服务。服务运行后,它将修复%windir%目录中TSSys2pr.dat文件的DOS可执行文件标识符,将其还原到TSSys2pr.exe并执行它。注册的服务信息如下:

8a5187daa2464d3b90d16785295c618f.jpeg

上面的命令行将修复PE文件的DOS标识符并执行该文件。特洛伊木马文件将在系统的临时目录中释放twunk_l6.dll并将其注入系统进程。相关代码的逻辑如下:

619fe19097164218bd7728918e97cbcc.jpeg

Twunk_l6.dll从注册表中的HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ MSBuild \ ToolsVersions \ cpuID读取加密的配置文件,根据配置读取存储在注册表中的加密病毒动态库,解密并加载它。相关的注册表配置和解密的配置文件信息如下:

63ab25ba18a54d20a059eed1795a0d3e.jpeg

注册表中读取的数据由AES解密,然后通过LZMA算法解压缩。解压缩了两个模块tPlat64.dll和CSSLookAid64.dll。解压缩算法如下:

69fd67ff380b4b2aa5ae47756c68bd9f.jpeg

CSSLookAid64.dll将修改本地网络代理,为深色刷程序提供代理服务器。修改后的设置如下:

512bd9a45bd74467ba499511bbbc379a.jpeg

tPlat64.dll将计算机信息发送到CC服务器。 CC服务器通过发送信息返回配置文件。解密如下。 url字段对应于深刷通信的主程序,config字段对应于其配置文件:

bce738120c484fb2a9fb0b037ad31a6e.jpeg

将解密的黑刷主程序注入进程,并通过命名管道将配置文件传递给主程序PC_WEBKIT.exe。代码逻辑如下:

271b05df642b45eb9cf7545fd11e1ea9.jpeg

PC_WEBKIT.exe将下载并加载其他依赖组件WebKit.dll,JavaCore.dll,ffmpegsumo.dll等,然后创建一个线程开始刷牙,并将相关日志保存在ck.txt中,下图是在分析环境生成的日志信息:

c0828a0713c8415e8a26a2781e68b273.jpeg

采矿

除了暗刷之外,“灾难”僵尸网络还将发布携带“武汉盛宏创意装饰设计有限公司”有效数字签名的恶意驱动程序。经过分析,驱动程序被发现是2018年7月的360.采矿马NewKernelCoreMiner,驱动程序信息如下:

7f59ab5518bf44318ad59f8bc0f12c46.jpeg

驱动程序将挂钩NTFS调度功能以保护病毒文件。

703c396464574431b940a3929a71b808.jpeg

禁止加载以下安全模块:

39927e6eb8fe4e789fb070c879120f2e.jpeg

清理旧版本:

02eec1b350954dff8dab666461bcf755.jpeg

最后,注册进程回调,注入Platform.dll进入lsass.exe进程开始挖掘,病毒携带多个矿池地址,每次都会随机选择挖掘配置,相关代码如下:

5eb86bbe79d845af8a2e7bdd8fec5540.jpeg

有关NewKernelCoreMiner的更多技术细节,请参阅我们之前的分析报告。 NewKernelCoreMiner支持价值百万元的挖掘木马(

“魏”你总是安然无恙,360安全卫士再次强大攻击

“灾难”僵尸网络使用srvany.exe获取SYSTEM的执行权限。执行过程中病毒的过程链是完全白色的。多个shellcode的加载采用“加密”+“内存加载”模式,也使用所使用的病毒模块。加密存储,如将shellcode加密到注册表中,可以绕过许多安全软件的检测,行为非常隐蔽。但是,中毒用户不必担心,360安全卫士可以强行杀死这类木马,建议中毒用户去weishi.360.cn,下载360安全卫士杀人。

3efba282b9fa49288d26af4a424d569a.jpeg

日期归档
澳门银河官网app 版权所有© www.fivestarphonebook.com 技术支持:澳门银河官网app | 网站地图