0x00 引言


剛重裝的系統就中毒了,這是很多網友常常遇到的事,難道是中了引導區木馬?甚至bios中毒?其實沒那么復雜,很可能是你安裝的系統自帶了木馬。

0x01 “蘇拉克”木馬簡介


“蘇拉克”木馬是2015下半年來持續爆發的木馬,該木馬感染了大量的計算機,其主要傳播釋放是直接在ghost鏡像中植入木馬,然后將ghost鏡像上傳到大量網站提供給用戶下載,此外,近期也發現該木馬的win8、win10版本通過oem激活工具植入用戶電腦中。由于該木馬的主要模塊名為“surak.sys”,且通過分析得知該木馬的項目名稱即為“surak”,因此將其取名“蘇拉克”木馬。

0x02 “蘇拉克”木馬特點


  1. 傳播渠道隱蔽,由于該木馬被直接植入到ghost鏡像中,用戶一安裝系統就自帶該木馬,而此時尚未安裝任何安全軟件,因此木馬的傳播過程完全不在監控中。
  2. 影響用戶多,由于大量網站傳播該類ghost鏡像,且此類網站投入了大量推廣費進行推廣,普通用戶通過搜索引擎找到的鏡像下載站幾乎全是帶木馬的。此類鏡像涵蓋了“雨林木風”、“深度技術”、“電腦公司”、“蘿卜家園”、“番茄花園”等主流ghost。
  3. 難以清除,由于木馬進入系統時間比安全軟件早,掌握了主動權,對其后安裝的安全軟件做了大量的功能限制,使其大量功能無法正常使用,如安全防護無法開啟、信任列表被惡意操作等,導致難以檢測和清除木馬。
  4. 對用戶電腦安全威脅大,“蘇拉克”木馬除了鎖定瀏覽器主頁獲利外,還會實時連接云端獲取指令,能夠下載其它木馬到本地執行,給系統安全造成了極大的威脅。此外,針對64位系統,該木馬還會修改系統內核文件,使得64位系統自帶的驅動簽名校驗、內核防鉤子等安全機制全部失效。

p1 圖1. “蘇拉克”木馬產業鏈示意圖

0x03 “蘇拉克”木馬行為分析


“蘇拉克”木馬的功能主要分為4大模塊,即內核Rootkit模塊、應用層主體模塊、應用層加載器模塊、應用層上報模塊。模塊分工明確,可擴充性強,配置靈活,且所有的通訊都使用高強度加密算法加密(AES & RSA),該木馬有xp版、win7版、win8版、win10版,除xp版外其它版本又分為32位版本和64位版本,每個版本功能基本一致,以下以xp版本為例進行分析,其它版本行為類似。

通過各個模塊分工協作,該木馬完成了主頁鎖定、云端控制、插件下載、對抗安全軟件等功能。

p2

1、啟動模塊行為(MD5:a3c79b97bdea22acadf951e0d1b06dbf)

qidong32.dll的功能單一,其被注冊成系統組件,開機時隨系統啟動,由Explorer.exe進程加載執行。該文件被加載后首先判斷自己是否位于explorer.exe進程或者regsvr32.exe進程中,若是,則啟動system32\drivers\UMDF\boot.exe文件。該文件是木馬的主體文件,預置在帶毒的Ghost系統中。

p3 圖3

p4 圖4

2、主體模塊行為(MD5:bf47d80de3852e7ef6b86ac213e46510)

Boot.exe文件是該木馬的主體模塊,主要負責定時從云端下載最新的配置信息及負責其它模塊的調度、插件下載、數據傳遞等。

  1. 運行后首先從云端下載http://xp.xitongzhu.com/2.0xpFileList.dl文件,該文件使用AES加密,密鑰為“DownloadKey”,顧名思義該配置文件與下載相關,解密后的該文件如圖5所示,主要包含要下載的文件列表、文件類型、本地存儲路徑等。

    p5 圖5.解密后的2.0xpFileList.dl

  2. 解析配置文件,并進行相應的下載,下載完成后根據類型進行Load或者Exec。

    p6 圖6

  3. 完成以上行為后,將下載成功后的文件路徑按一定格式存儲,并使用AES加密(密鑰:dl_encrypt)存儲在C:\Windows\System32\drivers\UMDF\dllist文件中,即插件列表。

    p7 圖7. 存儲插件列表

  4. 下載http://xp.xitongzhu.com/2.0xpSurakConfig.cfg到內存中,該文件是木馬的配置文件,下載后計算配置文件的MD5值,并與C:\Windows\System32\drivers\UMDF\hash\config中存儲的值進行比較,以判斷配置文件是否更新,如果更新則將其傳給surak.sys

    p8 圖8. 下載配置文件并比較MD5

  5. 該配置文件分為三部分,分別使用AES進行加密,密鑰均為“ConfigEncryptKey”,解密后的單個配置信息結構大致如圖9所示。

    p9 圖9. 配置信息數據結構

  6. 配置文件對應的木馬功能分別如下:

    • 注冊表隱藏:阻止列表進程訪問指定的注冊表路徑(圖10)
    • 文件隱藏攔截驅動加載:阻止列表進程訪問指定文件,攔截指定驅動加載(圖11、13)
    • 進程隱藏三部分:當列表進程枚舉系統進程列表時隱藏指定進程(圖12)

    p10 圖10. 注冊表相關的配置信息

    p11 圖11. 文件操作相關的配置信息

    p12 圖12. 進程隱藏相關配置信息

    p13 圖13. 阻止驅動加載的相關配置信息

  7. 解密完配置文件后,依次將其加密后傳遞給內核surak.sys完成相應功能。

    p14 圖14. 將配置信息傳遞給surak.sys

3、Rootkit模塊行為(MD5:8bb5cdc10c017d0c22348d2ada0ec1dc)

  1. 掛鉤NtQuerySystemInformation函數,對應隱藏進程功能。在win7等64位系統中,由于“蘇拉克”木馬patch了系統的內核文件,因此掛鉤此函數也不會引起藍屏。

    p15 圖15

  2. 注冊LoadImage回調,通過此回調函數,攔截指定sys文件加載,其攔截方式直接將DriverEntry初代碼改成返回指令。

    p16 圖16

  3. 注冊CmpCallback回調,對應注冊表隱藏功能。

    p17 圖17

  4. 掛鉤IofCallDriverIoCreateFileSpecifyDeviceObjectHint,對應文件隱藏功能

    p18 圖18

    p19 圖19. 在x64版本的系統中,為了能夠Hook內核,系統的內核文件被篡改

4、上報模塊行為(MD5:595738d7ca9291a3d3322039bb4dc960)

tj.dll文件主要用于上報,其主要功能是收集機器信息、木馬版本信息、木馬配置信息等,使用RSA做非對稱加密,將信息上傳到服務端。

p20 圖20

5、木馬其它模塊(插件)行為

  1. ielock32.dll(MD5:fadb57ff6fbfaf5f7f09e83d0de4a2ed)用于鎖定瀏覽器主頁。該文件插入到explorer中,并通過掛鉤進程創建函數,以添加命令行的方式鎖主頁。

  2. subooa.sys、suboob.sys、subooc.sys(MD5:e94faf79a7681b33b903cceb1580d7c4)這三個驅動文件都會被加載到內核中,但只是一個空的工程,未見惡意代碼。

0x04 傳播渠道探索


“蘇拉克”直接植入到ghost系統鏡像中,其傳播渠道主要是通過推廣ghost系統傳播擴散。從10月份以來,反病毒實驗室監控到大量的傳播帶毒鏡像的網站,此類網站一般偽裝成“系統之家”網站,并通過搜索推廣或者直接刷搜索引擎來使自身排名靠前。此外各大裝機相關的論壇,布滿了帶毒ghost系統的推廣帖,吸引大量網友上鉤。

p21 圖21. 偽裝成系統之家的帶毒ghost下載站

p22 圖22. 通過廣告或者刷排名來使自己排名靠前

p23 圖23. 通過論壇發帖推廣帶毒ghost系統

0x05 結語


隨著安全軟件的普及和防護能力的強化,木馬想繞過安全軟件的防護深入用戶系統變得非常困難,因此黑產從業者們想方設法讓自己先于安全軟件進入用戶的系統,并借先入之機大肆破壞后來安裝的安全軟件,從而達到霸占用戶電腦并利用用戶電腦實現盈利的目的。近期,騰訊反病毒實驗室對通過國內各大搜索引擎查找“ghost”、“ghost xp”、“ghost win7”等關鍵詞排名前10的ghost鏡像全部進行下載安裝分析,發現90%以上的ghost鏡像都是帶有木馬的。管家在此建議用戶選擇正規渠道安裝操作系統,通過下載ghost鏡像安裝系統雖然快速省事,但其安全性,確實很令人擔憂。

0x06 附錄


目前已經發現通過各種渠道推廣的帶毒ghost鏡像下載站列表,目前管家已攔截相關網站,大家下載相關文件時注意避開這些網站。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞