由于传播、利用本公众号听风安全所提供的信息而导致的任何直接或则间接的后果及损失,均由使用者本人负责新天龙sf,公众号听风安全及作者不因此承当任何责任,一旦引起后果请自行承当!如有侵权烦请告知,我们会立刻删掉并道歉。谢谢!
公众号现今只对常读和星标的公众号才展示大图推送,
建议你们把听风安全设为星标,否则可能就看不到啦!
----------------------------------------------------------------------
本文为白名单授权转发
近期,火绒恐吓情报系统检测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒被激活后,会将用户重定向到恶意网站,并容许黑客进行信息搜集和数据篡改等恶意活动。除此之外,该病毒还采用了多种对抗手段,对用户构成较大的安全恐吓。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
病毒查杀图
该病毒采用字符串加密和删掉杀毒软件驱动等多种对抗手段,对抗杀毒软件的查杀,并通过URL绑架、DNS劫持和IP重定向等方法来绑架用户的流量。当用户访问与“天龙八部”相关的网页时,就会被重定向到指定的私服网站。该病毒执行流程,如下图所示:
病毒执行流程图
火绒工程师剖析发觉,报告中的Rootkit病毒会严禁这次Rootkit病毒的驱动签名,可见黑客结伙十分活跃,不排除后续持续作恶的可能,请广大用户时刻保持提防。
一
样本剖析
初始化阶段
携带病毒的天龙八部私服启动后,会释放并启动该Rootkit病毒,当时应用火绒剑监控到的行为,如下图所示:
火绒剑监控到的行为
通过查看该Rootkit病毒的驱动签名,在火绒上一篇报告《Rootkit病毒借助“天龙八部”私服传播,可绑架网页》中的Rootkit病毒会严禁驱动签名为:“Fuqing Yuntan Network Tech Co.,Ltd. “的驱动,该驱动签名正是这次Rootkit病毒的签名,相关签名信息,如下图所示:
此次Rootkit病毒的驱动签名
Rootkti病毒启动后,会先进行初始化操作如:初始化WFP网路过滤框架,如果之前有获取过C&C配置会重新从注册表中读取下来,相关代码,如下图所示:
之后会从C&C服务器中更新相关配置文件,并将配置信息保存到注册表中,后续执行恶意功能时,Rootkit病毒会依照对应数组中的配置信息来确定执行的具体行为和形式,相关代码,如下图所示:
从C&C服务器接收配置信息
获取到部份配置信息,如下图所示:
配置信息
混淆&对抗
Rootkit病毒采用VMProtect加密壳进行混淆,并对所有使用的字符串进行加密,以规避杀毒软件的特点匹配查杀。在实际运行时,它就会揭秘这种字符串。相关代码,如下所示:
字符串加密
该Rootkit病毒都会删掉某杀毒软件的驱动启动项,来制止杀毒软件驱动的加载,相关代码,如下图所示:
删除杀毒软件驱动启动项
该病毒会通过注册表反弹来拦截指定签名的驱动程序。在注册表反弹中会拦截RegNtSetValueKey(设置注册表值)的操作,如果发觉正在添加驱动注册表项,会检查对应文件的签名,如果是指定的签名都会进行拦截,相关代码新天龙sf,如下图所示:
注册表反弹
不仅在注册表反弹中会对指定驱动进行拦截,在模块加载反弹中也会进行检测并拦截指定驱动程序,相关代码,如下图所示:
模块加载反弹
该病毒会添加死机反弹,在死机反弹函数中会执行一些恶意行为如:重新添加驱动注册表项、删除所有要拦截驱动的注册表项等,相关代码,如下图所示:
关机反弹
为了避免死机反弹和自身注册表项被删除,还会创建一个单独的线程循环进行检测,如果被删除了才会重新添加一个,相关代码,如下图所示:
看门狗线程
该病毒都会按照配置信息更改系统hosts文件来屏蔽其他天龙八部私服网站,根据配置信息更改hosts文件,如下图所示:
根据配置信息更改hosts
修改以后的hosts中会屏蔽大多数私服网站,如下图所示:
修改后的hosts
流量绑架
Rootkit病毒使用WFP框架来进行对用户流量绑架,主要通过三种形式来绑架用户的流量,如下所示:
URL绑架
在WFP过滤框架的 FWPM_LAYER_STREAM_V4 过滤层中进行URL绑架,会对访问的URL进行判别,如果须要绑架,该Rootkit病毒都会更改收到的服务器响应数据包,将其转变为一个HTTP 302重定向响应数据包。此举能有效实现目标URL的绑架。具体的实现代码如下所示:
URL绑架相关代码
DNS劫持
在WFP的FWPM_LAYER_DATAGRAM_DATA_V4过滤层中进行DNS绑架,DNS劫持是一种网路功击,攻击者通过更改DNS服务器的设置或则在用户设备上更改DNS设置,使得用户在访问某个网站时被重定向到攻击者控制的服务器,DNS劫持可被用于海钓功击、广告注入、分发恶意软件等,相关代码,如下图所示:
DNS绑架相关代码
IP重定向
在WFP过滤框架的FWPM_LAYER_ALE_CONNECT_REDIRECT_V4过滤层中进行IP重定向,IP重定向可被用于中间人攻击、网络垂钓功击等风险,IP重定向相关代码,如下图所示:
IP重定向代码
二
附录
C&C:
HASH:
不可错过的往期推荐哦