近期,360安全衛士監測到了一批通過微信群傳播的遠控木馬,木馬針對在網上倒賣微信號的人群定向投放���。賣號人的交流群里時常有不同的小號在散播誘導性的木馬程序,不知情的賣號人運行木馬后,電腦上就被植入后門���。
認識賣號人
在分析遠控木馬之前,我們先來認識一下這批遠控木馬的目標人群——賣號人���。賣號分為很多種,本文主要指的是倒賣微信號,更具體的應該是賣“微信62數據”��。這里簡單認識一下“微信62數據”,這個數據是微信用戶登錄新設備后生成的加密數據,通過導入該數據到新設備中,可以跳過新設備登錄驗證的步驟直接登錄賬號,這一串數據是以數字“62”開頭,被賣號人習慣性的稱為“62數據”����。如下是一條賣號人提供的微信號數據,格式為“賬號—密碼—62數據—最后登錄時間”�。
眾所周知,微信是個天然營銷的平臺,圍繞在微信圈里的產業鏈更是舉不勝舉,自然就有人搞起了微信號的買賣交易����。而對于賬號交易至關重要的62數據,本身使用起來頗為麻煩(需要輔助工具),所以免不了有人要做一些科普性工作,網上隨便找一下62數據相關��。
看上去營銷工作做得還可以,于是加扣扣打探一下行情,發現的確是一條產業鏈�����。
打開所謂的平臺,其實是在卓郎上注冊的一個“自動發卡”商戶,上面提供多種不同品質需求的微信62數據賬號�。
后來發現,不少賣號的代理人有自己各自的渠道,如下為另一自動批發商戶:
這些賣號的代理人平時還會通過微信群來進行交流��。我們嘗試聯系某個賣號的代理人,經過溝通后發現有人專門負責在微信群里散播誘導性的遠控木馬程序�����。
有意思的是,賣號代理人一般都會使用微信電腦版來工作,正常情況下群里的木馬文件自動接收后會被360識別為木馬并隔離查殺,只有用戶主動去找回并運行木馬程序才會中招�。
經了解,進這個群需要交50塊RMB,有一定的門檻,目前該群已滿500人,其中卻有不少“混進去”的小號在散播該木馬���。
遠控木馬分析
下面以上文提及的微信群內散播的最新樣本“國內老號500個62數據.exe”為例進行分析�。傳播者試圖以“國內老號500個62數據”之類的文件名誘導賣號人下載運行木馬釋放體,傳播中的木馬文件名和程序圖標都比較有欺騙性�。該木馬的主要運行流程如下圖所示:
(一)����、木馬釋放體
木馬釋放體運行后主要的功能代碼都在窗口Form1的活動過程函數TForm1:FormActivate里,啟動后先從資源里釋放一個加密的zip壓縮包,保存到D盤根目錄命名為:“如遇登錄器打不開.txt”���。該壓縮包里存放了首次感染用戶需要用到的所有文件,被解壓到用戶的圖片目錄(該目錄將作為木馬的安裝目錄),解壓密碼為“2017”�。如果安裝目錄里事先已存在惡意程序“KGGouWo.exe”(酷狗躺槍�����。�����。���。),說明不是首次運行,就直接打開一個已存在的文本文件“成功數據(127).txt”�����。
這里順便提下,由于木馬判斷了“D:如遇到登錄器打不開.txt”這個壓縮文件是否存在,所以在沒有D盤的系統,木馬文件會釋放失敗,無法繼續后續行為��。
看一下壓縮文件解壓到安裝目錄后文件列表���。
接著,在安裝目錄下創建一個名為“360管家.lnk”的欺騙性快捷方式,快捷方式的目標指向了剛解壓出來的一個被利用的白程序“gamecore.exe”�。
“gamecore.exe”其實是酷狗官方的一個程序組件,且具有有效的數字簽名�。
“gamecore.exe”啟動后未經校驗就會直接啟動同目錄下的文件名為“KGGouWo.exe”的程序����。木馬作者通過“白加黑”的方法,對抗安全軟件的攔截�。
木馬釋放體將偽造的“360管家.lnk“的快捷方式復制到系統的啟動目錄下實現開機啟動,具體的實現的過程比較有特點���。
首先,構造一個特殊的命令行如下:
C:Documents andSettingsAdministratorMy DocumentsMy Picturesbaidu.com execmd copy"C:Documents and SettingsAdministratorMy DocumentsMy Pictures360管家.lnk" "C:Documents andSettingsAdministrator「開始」菜單程序啟動360管家.lnk"
從該命令行可以看出,調用的程序為安裝目錄下的“baidu.com”這個程序,該程序實際上是個NirCmd命令行工具����。
命令行給該工具傳遞“execmd copy”命令來把“360管家.link”快捷方式拷貝到開始菜單里的啟動目錄,由此實現自啟動的目的�����。在xp環境下“baidu.com”的程序路徑包含空格且作者未使用雙引號包含(發現此處是木馬的bug,在win7以上環境能正常運行命令行),命令行被截斷將導致后續執行失敗如下:
然后,木馬釋放體將構造好的命令復制到系統剪貼板里��。
最后,木馬釋放體啟動同目錄下的“Spy++.exe”來運行剪貼板里的命令���。 “spy++.exe”通過調用“baidu.com”命令行工具來模擬鍵盤操作,首先是發送“Win+R”快捷鍵來打開windows運行窗口,接著使用“Ctrl+V”快捷鍵粘貼事先復制好的命令行,然后馬上就按回車鍵執行,從而實現運行剪貼板里命令行的操作,并且最后為了不引起用戶的懷疑,還調用CMD命令刪除運行記錄����。
添加開機啟動之后,木馬釋放體會直接運行“360管家.lnk“,通過白程序“gamecore.exe”啟動惡意程序”KuGouWo.exe”���。之后,木馬釋放體打開一個“成功數據(127).txt”來迷惑中招用戶����。
“成功數據(127).txt”內容如下所示,可以看到是一些微信賬號和62數據�����。
(二)�����、遠控木馬
KGGouWo.exe的圖標偽裝成私服的樣式,實際上是個遠控木馬,當運行在非安裝目錄時,會顯示傳奇游戲的圖片,來欺騙用戶��。
當程序運行在安裝目錄(“My Pictures”,即用戶圖片目錄)時,才會觸發遠控流程����。
遠控流程需要的一些API函數是在程序窗體初始化的時候準備好的�。具體過程是拼接所需API函數的字符串后,調用“LoadLibraryA”和“GetProcAddress”獲得�。
程序進入遠控流程后,會先連接遠程控制端服務器,地址為:“27.54.*.211:8100”,連接協議使用TCP連接�。
連接遠程服務器后,注冊WM_Socket消息,綁定窗口消息處理函數來接收遠程可讀消息,消息碼為0x1400�。
然后收集用戶系統信息準備進行上線,收集的信息包括用戶名��、主機名���、系統版本��、硬件信息��、語言地區����、文檔路徑等,并使用“|”連接,之后將數據進行壓縮后再發送給控制服務器進行上線請求��。
壓縮后封包的格式為“長度|壓縮數據”,接收的控制端數據也采用類似的格式����。
接著進入處理0x1400號消息的流程,當判斷有可讀數據時就接收遠程控制數據后開始進入控制流程�����。
進入控制流程后,經過一系列的長度檢查和數據解析之后,得到控制命令字符串���。對于新上線的中招機器,服務器會返回一個“Ping”命令字符串,該命令串隨后會被用來與木馬程序里定義的一系列控制命令作比較,如果相同則執行相應的命令操作,如下圖的“shenhua”即比較的第一個命令串��。
命令列表里沒有“Ping”命令,因而程序會跳出控制流程,進入默認的一個發送心跳包的流程,發送的數據為“Idle”�。
心跳包每隔10秒鐘就會發送一次,用于向控制服務器證明遠控木馬一直處于上線狀態�����。
木馬上線后,除了持續發送心跳包外就是等待接收控制端的命令了,然后又回到上述的控制流程,遍歷命令列表執行相應的控制命令,命令列表及對應功能如下表所示:
遠控木馬該有的功能都不少�。下面看幾個常見的功能實現,首先是截屏,核心還是創建屏幕位圖����。
清除系統日志,可以看到清除了包括安全事件����、DNS事件等多個系統關鍵日志��。
鍵盤記錄功能包含“Start”和“Stop”兩個開關指令,當開啟記錄功能時除了設置鍵盤鉤子外還啟動了一個輔助程序“mir.exe”�。
鍵盤記錄關鍵的功能在鉤子回調里實現,主要記錄受害用戶的鍵盤操作,分為可見字符輸入�、空格和其他特殊字符,同時還額外記錄了用戶剪貼板��、當前窗口標題等內容��。
關機��、注銷系統���、重啟�����。
開啟遠程shell是通過創建兩個匿名管道來設置cmd進程啟動參數的輸入輸出,同時cmd窗口屬性設置為隱藏���。
傳播情況
下面是此類遠控木馬最近一個月在全國各地區的傳播情況分布圖,其中廣東省為重災區,占比高達20%以上����。
結語
目前微信是常用的交流工具,不少用戶在電腦上也安裝了微信,因而微信被傳統的PC木馬作者盯上作為木馬的傳播途徑����。而五花八門微信群中人員復雜,木馬作者很容易隱藏自己并將木馬偽裝成用戶感興趣的內容來傳播��。請廣大用戶不要隨意點開來歷不明的陌生鏈接或文件,及時用安全工具掃描查殺可疑文件,避免給不法分子可乘之機�。
*本文作者:360安全衛士,轉載請注明來自 FreeBuf.COM
