0x00 前言
近期騰訊反病毒實驗室捕獲了一批針對性攻擊的高階木馬,該木馬使用近期熱門的時事 話題做誘餌,對特殊人群做持續針對性攻擊,目前騰訊電腦管家已經能夠準確攔截和查殺該 木馬。
圖 1. 騰訊反病毒實驗室攔截到的部分木馬檔案壓縮包
0x01 分析
該木馬主要通過郵箱等社交網路的方式對特定使用者進行針對性推送傳播,原始檔案偽裝 成常見的 windows 軟體安裝程式,一旦使用者執行了該木馬檔案,便會將包含 0day 漏洞的一 個第三方軟體及相應的庫檔案釋放到指定目錄中,同時釋放乙個加密的資料檔案到同一目錄 下。將含有針對性 0day 漏洞攻擊的命令列引數傳遞給該檔案執行。隨後進行自毀操作,不 留痕跡。
圖 2. 木馬安裝後將特定的第三方軟體檔案釋放到磁碟指定目錄中
該木馬釋放出的所有 pe 檔案均為 9158 多人**聊天軟體的模組,具有很大的使用者群, 檔案有完整且正確的該公司的數字簽名資訊。其中的 science.exe 在解析命令列引數時存在 緩衝區溢位漏洞,且編譯的時候未開啟 gs 等安全開關,觸發後能夠執行引數中攜帶的任意 shellcode 惡意**。這也是木馬找到這個白檔案漏洞來利用的原因,使用者群體大,漏洞非 常方便利用。由於惡意**是在正常檔案的記憶體中直接執行,同時在磁碟中駐留的檔案均為 正常軟體的白檔案,因此此木馬繞過了幾乎所有安全防護軟體。騰訊電腦管家使用了雲查引 擎,第一時間發現並查殺該木馬,同時已經第一時間通知相關廠商修復該漏洞。
圖 3. 9158 多人**軟體安裝目錄,對比發現,木馬釋放的 pe 均在其中
以下是木馬載入執行的詳細過程:
1 首先釋放檔案到指定目錄,共 5 個檔案,其中 science.exe、ddvctrllib.dll、 ddvctrllib.dll 均是 9158 多人聊天軟體的相關檔案,config.dat 是乙個加密的資料檔案,t1.dat 是乙個配置檔案。
2 帶引數執行 science.exe,其中引數共 0x2003 位元組,隨後原始木馬檔案進行自毀操作
圖 4. 使用含有惡意**的引數執行含有 0day 漏洞的檔案
3 由於 science.exe 對輸入的引數沒有檢查,當輸入的引數長度過長時,造成棧溢位
圖 5. 漏洞細節:由於軟體解析引數時沒有校驗長度,導致緩衝區溢位
圖 6.漏洞利用細節:精心構造最後三位元組資料精確定位跳轉執行 shellcode
圖 7. shellcode 的自解密演算法
圖 8. shellcode 的功能是讀取並解密 config.dat 檔案,直接在記憶體中載入執行
圖 9.建立乙個系統服務,服務對應的映象檔案為 science.exe,並帶有惡意引數
0x02 結語
木馬通過建立服務來實現永久地駐留在使用者電腦中,實現長期地監控。完成 服務建立後,即完成了木馬的安裝過程,為了隱蔽執行不被使用者發覺,木馬服務 啟動後會以建立傀儡程序的方式注入到 svchost.exe 程序中,在該程序中連線 c&c 伺服器,連線成功後黑客便可通過該木馬監視使用者桌面、竊取使用者任意檔案、 記錄使用者鍵盤輸入、竊取使用者密碼、開啟攝像頭和麥克風進行監視監聽等。從而 實現遠端控制目標計算機的目的。
如何載入第三方js
網頁中載入js檔案是乙個老問題了,已經被討論了一遍又一遍,這裡不會再贅述各種經典的解決方案。js檔案可以通過 來分為兩個緯度 第一方js和第三方js。第一方js是網頁開發者自己使用的js 內容開發者可控 而第三方js則是其他服務提供商提供的 內容開發者不可控 他們將自己的服務包裝成js sdk供網頁...
軟體測試之第三方快捷支付 臨汾官方第三方
臨汾官方第三方 或myobaike軟體支付,免費,安全,選擇能支付的快捷方式,由微軟授權,根據不同時間收費不同。方法簡介 軟體支付,充值軟體,註冊軟體,電子遊戲,能支付,可以支付,很少限制。a.存入電腦直接進入cpu 磁碟分割槽進行系統定位 b.為路由器的交換機提供 絡環境,允許以上的空話進入硬碟 ...
Qt 動態載入第三方庫
最近寫桌面測試程式,要使用到tsclib.dll,只有乙個tsclib.dll和tsclib.lib檔案。因此選擇顯示呼叫dll 使用qlibrary類 在pro檔案中,新增.lib檔案的位置 libs l d hitempt api l mydll dll檔案在動態呼叫時有兩個作用 1.編譯時用到...