前言
上周,360发布了海莲花的报告,数据收集,分析,解释,加工方面很能让人折服,但是看了其对所谓OceanLotus Encryptor样本的分析,和我自己观查到的,我觉得有些地方描述的不正确,而且其对病毒攻击流程的分析语焉不详——一个APT攻击报告不能详细说明其攻击流程,其他数据分析的再好我觉得都是没有说服力。
很多地方看似是语法错误导致的,其实是其并没有完全分析清楚攻击流程所导致的,比如 :
另外关于64位强密匙绕过杀软,其实质就是OceanLotus Encryptor 在创建进程时候的用到的一个64bytes的随机数,并没有什么其他的作用。还有一点释放的同名doc不是木马本身释放的,而是由其子进程解密母体文件,然后覆盖母体文件的所产生的。
综述
该病毒我首次注意到是今年4月初,时就觉得这个病毒非同一般,但是却没有深入的去分析,直到看到360的报告,我觉得写的很模糊,所以就详细分析了下。该样本所采用的技并不是说很复杂,但是各种技巧的组合还是很有杀伤力的,很好的绕过了杀软的检测,具有很强的隐蔽性,而且从代码逻辑与攻击流程来看,该病毒绝对不是脚本小子,freshman所能写的。关于是不是专门针对中国的APT攻击,直到我分析完该样本,我觉得这应该不是专门针对中国大陆的APT攻击,原因有两点:
1、在其释放的文件中,有一个%appdata%/tencent/qq.exe的文件。该文件文件信息伪造为国际版qq.exe 如下图,
2、在核心功能组建中,bundle.rdb会创建这样一个路径用于存放从服务器下载的其他攻击组件
如果是专门针对大陆的APT攻击,未免有点牵强。因为大陆很少会用到yahoo,而且qq政府工作人员也不会去用国际版,就算有那也很少。如果说是APT攻击人员的失误,那么这这两点将是致命性的错误,会造成攻击失败。
综上我觉得如果说非要说是APT攻击,那么该攻击要么是针对驻外大使馆,或者海外中国企业的职工。qq用于自己使用,yahoo 则应该用于与当地人民,工作交流使用,这样就能说的通了。
当然这只是我的推断,代表个人意见,如有不对勿喷。
攻击流程
2.1 攻击流程
该样本攻击流程分为三个阶段:第一阶段为释放,总共释放了两个文件%appata%tencent/qq.exe,%appdata/tencent/plugin/ Com.Tencnt.DirectShow/bundle.rdb。第二阶段注入代码到傀儡进程中让其加载核心功能组建bundle.rdb。第三阶段为核心功能组件,负责收集被感染系统信息,执行远程命令,并与服务器通信上传这些信息
。
过程解释:
1.恶意电子邮件附件中包含Oceanlotus 2.在%TEMP%中自拷贝自身 3.释放同名白doc文件,释放下一阶段执行体qq.exe与核心功能组建bundle.rdb文件 4.qq.exe运行之后注入代码到傀儡进程中 5.傀儡进程加载bundle.rdb 6.收集账号信息 7.上传被感染机器信息到服务器,获取服务器指令
3.1dropper技术细节
Dropper,即360命名的OceanLotus Encryptor运行之后,首先会在%temp%中自释放一个副本,然后创建一个自进程,该进程命令行为%temp%[random].tmp –help[parentpath] [0-9a-f]{64} .
然后结束进程。子进程创建之后,先获取filepath路径,即母体的路径,然后读取母体id为65的资源数据,并解密,随后覆盖原文件,释放doc文档。之后会检测是否运行在虚拟机里,检测完之后便会解密数据释放qq.exe,与bundle.rdb,注册mspaint键值,建立计划任务,创建qq.exe进程,结束运行。
3.1.1 判断运行参数,以判断自身是否为母体的子进程。这样是为了确保正确释放doc文件。
3.1.2然后接下来获取资源节数据并解密资源节id为65的资源,即为doc文件内容。
3.1.3.检测是否运行自虚拟机中,如果是则结束运行。
通过这段指令,就可以检测运行环境是否在vmware里,该反虚拟机技术为公开的vmware 与客户机之间会话用的一段指令序列。
反虚拟机的手段其实有很多,但是选择这种方式本人认为:一是相对检测注册表,进程名可靠性比较高,更加通用,二是这样子会更加的隐蔽,因为检测注册表,与进程名很容易被分析人员识别出来,而且代码量会大.
3.1.3接下来是对解密自身数据,为释放%appdata%/Tencent/qq.exe 与%appdata% Tencent /plugin/Com.Tencnt.DirectShow/bundle.rdb 做准备,值得注意的是解密数据不是整体存放的,而是分块解密,这样做是为了对抗杀毒软件, 扰乱分析人员的深入分析,其中解密算法相当复杂,下图为解密流程一部分:
3.1.4 解密之后设置注册表,伪装为mspaint的注册表信息,分别设置
HKCU/SOFTWARE/mspaint 值为bundle.rdb的路径。 HKLM/SOFTWARE/mspaint 值为qq.exe的路径。
3.1.5将qq.exe 加入计划任务
每过十五分钟启动一次%appdata%/Tencent/qq.exe
3.2 %appdata%/Tencent/qq.exe细节
3.2.1.该进程启动方式为计划任务创建的,运行之后首先把遍历是存在msiexec.exe
%appdata%/Tencent/qq.exe 进程,如果存在则不运行。
3.2.2.查看注册表,查找注册表键值
HKCU\SOFTWARE\Microsoft\mspaint\ HKLM\SOFTWARE\Microsoft\mspaint\
其中这两个键的键值为dropper创建的,并且其值分别为Bundle.rdb的路径与qq.exe的路径,如果查找成功则继续执行,不成功则结束进程。
3.2.3.遍历进程查看其用户是否为administator,如果是则遍历其模块,如果模块中存在bundle.rdb 则结束运行。
3.2.4遍历进程如果存在以下hash,则进行相应的操作
Hash算法的C代码如下:
其中CRCkey,存在于%appdata%/Tencent/qq.exe本身,位于文件偏移0×1016134处
3.2.5 判断进程参数看其参数是否为 “rundll32.exe /m”
如果是则依次判断是否存在文件syswow64/msiexec.exe,system32/msiexec.exe, Program Files\Internet Explorer\iexplore.exe, Program Files (x86)\Internet Explorer\ielowutil.exe如果存在以上四个文件之一,则创建进程,为后面注入做准备。(本报告以msiexec.exe为例)。
其伪代码如下:
3.2.6创建完msiexec.exe后,遍历进程列表中的进程的所有线程,找到进程id为msiexec.exe的进程,挂起该进程的所有线程。为载入msiexec.exe做准备。
3.2.7挂起所有线程之后,随后是注入代码到msiexec.exe.首先将bundle.rdb路径写入,如图所示
然后,获取LoadLibrayW,RtlGetLasterror,Sleep,ExitProcess地址后,注入shellcode其实现的功能是,载入bundle.rdb模块,其注入的代码如图:
当其注入完毕以后就恢复线程运行。这样qq.exe就完成了自己的任务。总结下qq.exe的最终目的主要是注入上面的代码到msiexec.exe 。但是该病毒相对平时见到的简单木马确实很不同寻常,相对来说过程复杂,功能全面,而且代码很稳健,而且这一步骤起着承前启后的作用。
3.3 Bundle.rdb分析
Bundle.rdb是一个动态库,为其核心功能组建,其相当于一个云配置客户端, 内部并没有多少恶意行为痕迹,只负责请求,接收,处理服务器端的信息(但是由于我拿到的样本ip失效,所以看不到与服务端的通信)并且收集被感染系统的信息,相对来说代码也比前两个阶段的代码复杂,解密过程极为复杂,有一些是为了对抗杀软特征查杀的技巧,但是也相对比较简单。
Bundle.rdb实现的功能有与C&C 通信,获取服务端指令或者下载其他组建,但是由于ip失效,所以看不到下一步的操作。
3.3.1 随机获取 zone.mizove.com ,sin04s01.listpaz.com active.soariz.com其中一个的的ip,然后与之建立连接,进行通信。
3.3.2 获取以下数据
注册表信息:
software\Microsoft\Windows NT\CurrentVersion\ime SOFTWARE\DESCRIPTION\System\CentralProcessor Software\ATI Technologies\Install\South Bridge\ATI_AHCI_RAID HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 1\Target Id 0\Logical Unit Id 0
还有硬盘信息,用户名信息等这里就不一一列举了。
3.3.3 从服务器中下载其他组建到一下路径,,并伪装成白文件。
%appdata%\Yahoo!\Messenger\Martha\cacheinfo.db %appdata%\Mozilla\statistics.db
后记
总的来说,病毒作者是选择了很巧妙地方法,由于功能分散在不同文件中,阶段行的执行,其中%appdata%tencent/qq.exe因为填充垃圾数据,对抗了云查杀,巧妙地利用了正常程序的路径来存放自身,其留在被感染机器上的痕迹很小,这样的免杀效果很好,而不是单单加个壳,因为加壳恰恰会引起杀软与分析人员的注意。
*作者:比尔.盖茨,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)