白利用的集大成者:新型远控木马上演移形换影大法

简介: 本文讲的是白利用的集大成者:新型远控木马上演移形换影大法,经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。
本文讲的是 白利用的集大成者:新型远控木马上演移形换影大法经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。

                                             白利用的集大成者:新型远控木马上演移形换影大法

其实,将快捷方式作为木马启动跳板的做法本来并不新鲜,有趣的其实是快捷方式指向的程序:

白利用的集大成者:新型远控木马上演移形换影大法

截图无法完整展示启动参数,我们把启动参数列出来:

C:WindowsSystem32rundll32.exe
C:Windowssystem32url.dll, FileProtocolHandler
"~1QQ.exe"

第一层是系统的rundll32.exe,功能就是加载并执行一个动态链接库文件(dll)的指定函数。而有趣的就是这个被加载的动态链接库文件和指定函数——url.dll的FileProtocolHandler函数。

从文件名不难看出,这其实是一个网络相关的库文件——准确地说,这是一个IE浏览器的扩展组件(Internet Shortcut Shell Extension DLL):

白利用的集大成者:新型远控木马上演移形换影大法

而所调用的函数,却是用来执行本地程序的函数——FileProtocolHandler。实际上该函数所返回的,就是调用ShellExecute函数执行指定程序后的执行结果:

白利用的集大成者:新型远控木马上演移形换影大法

而真正的木马,则是在第三层的参数“~1QQ.exe”。到此为止,看似是通过了2层的正常程序,跳转到了一个木马程序。其实不然——这个QQ.exe也是一个正常程序:

白利用的集大成者:新型远控木马上演移形换影大法

虽然名字是QQ.exe,但其实是网易云音乐——签名正常。而木马就是利用了该程序去调用一个假的cloudmusic.dll,并执行它的CloudMusicMain函数:

白利用的集大成者:新型远控木马上演移形换影大法

当这个假的cloudmusic.dll的CloudMusicMain函数被调用的时候,木马会首先生成CertMgrx.exe和xxxx.cer两个文件:

白利用的集大成者:新型远控木马上演移形换影大法

   白利用的集大成者:新型远控木马上演移形换影大法

完成后,调用生成的certmgrx.exe将xxxx.cer加入到系统信任证书的列表中——这样一来,假cloudmusic.dll所带的假签名也摇身一变成为“真签名”了

白利用的集大成者:新型远控木马上演移形换影大法

白利用的集大成者:新型远控木马上演移形换影大法

完成这一步后,由于假签名所依赖的假证书已经生效,便可以有恃无恐地进行后续动作——向当前目录下的temp文件夹里释放新的木马文件:

白利用的集大成者:新型远控木马上演移形换影大法

白利用的集大成者:新型远控木马上演移形换影大法

白利用的集大成者:新型远控木马上演移形换影大法

与之前木马结构类似TEST1.exe依然是网易云音乐的主程序,而新的cloudmusic.dll则是真正的木马本体。

木马本身并没有太多新意,故此也不再赘述。该木马的特点就体现在FileProtocolHandler函数的利用上,多一层的系统文件的跳转让许多主动防御类安全软件难以追踪和识别,再加上本身利用网易白程序和导入假证书的手法,多种白利用手段相结合,确实会让市面上许多安全软件哑火。




原文发布时间为:2017年6月23日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

目录
相关文章
|
2月前
|
存储 人工智能 安全
AI时代的惊天危机!揭秘如何守护你的数据宝藏免受黑客魔爪侵袭!
【10月更文挑战第12天】在数字化时代,AI产品已深入生活的方方面面,但数据安全问题日益凸显。本文探讨了如何妥善处理AI产品的数据安全,包括建立数据保护机制、加强监管与审计、提升公众意识及关注新技术发展,确保数据的完整性、机密性和可用性。
66 1
|
4月前
|
SQL 安全 网络安全
【惊心动魄】揭秘网络暗黑势力!全面解析网站安全攻击手段及防御秘籍,助你构筑坚不可摧的数字堡垒!
【8月更文挑战第13天】随着互联网发展,网站成为信息和服务的关键渠道,但也面临黑客攻击的风险。本文介绍几种常见攻击及其防御方法:SQL注入可通过参数化查询预防;XSS攻击需对数据严格过滤和编码;CSRF攻击则需使用唯一令牌验证;文件上传漏洞应限制文件类型并验证;DDoS攻击可借助CDN和防火墙缓解。维护网站安全需持续监控和更新防护策略。
95 11
|
安全
老牌下载站fixdown被挂马 威金蠕虫开始复苏
据瑞星“云安全”系统监测,6月15日,“全方位下载”、“中国自动化学会社区”、“廊坊市财政局”等老牌下载站、政府网站被黑客挂马,用户浏览这些网站后,可能感染病毒:Worm.Win32.Viking.kk(威金蠕虫),导致用户系统崩溃。
1322 0
|
安全
卡巴斯基、火眼双双遭遇零日漏洞
本文讲的是 卡巴斯基、火眼双双遭遇零日漏洞,谷歌一名安全研究员塔维斯·奥曼迪,上周在推特上披露了卡巴斯基防病毒软件中的一个漏洞,利用此漏洞可绕过卡巴斯基2015、2016版防病毒产品,入侵用户的计算机系统。
1267 0
|
Web App开发 安全 数据安全/隐私保护
|
安全 数据安全/隐私保护