白利用的集大成者:新型远控木马上演移形换影大法

简介: 本文讲的是白利用的集大成者:新型远控木马上演移形换影大法,经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。
本文讲的是 白利用的集大成者:新型远控木马上演移形换影大法经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。

                                             白利用的集大成者:新型远控木马上演移形换影大法

其实,将快捷方式作为木马启动跳板的做法本来并不新鲜,有趣的其实是快捷方式指向的程序:

白利用的集大成者:新型远控木马上演移形换影大法

截图无法完整展示启动参数,我们把启动参数列出来:

C:WindowsSystem32rundll32.exe
C:Windowssystem32url.dll, FileProtocolHandler
"~1QQ.exe"

第一层是系统的rundll32.exe,功能就是加载并执行一个动态链接库文件(dll)的指定函数。而有趣的就是这个被加载的动态链接库文件和指定函数——url.dll的FileProtocolHandler函数。

从文件名不难看出,这其实是一个网络相关的库文件——准确地说,这是一个IE浏览器的扩展组件(Internet Shortcut Shell Extension DLL):

白利用的集大成者:新型远控木马上演移形换影大法

而所调用的函数,却是用来执行本地程序的函数——FileProtocolHandler。实际上该函数所返回的,就是调用ShellExecute函数执行指定程序后的执行结果:

白利用的集大成者:新型远控木马上演移形换影大法

而真正的木马,则是在第三层的参数“~1QQ.exe”。到此为止,看似是通过了2层的正常程序,跳转到了一个木马程序。其实不然——这个QQ.exe也是一个正常程序:

白利用的集大成者:新型远控木马上演移形换影大法

虽然名字是QQ.exe,但其实是网易云音乐——签名正常。而木马就是利用了该程序去调用一个假的cloudmusic.dll,并执行它的CloudMusicMain函数:

白利用的集大成者:新型远控木马上演移形换影大法

当这个假的cloudmusic.dll的CloudMusicMain函数被调用的时候,木马会首先生成CertMgrx.exe和xxxx.cer两个文件:

白利用的集大成者:新型远控木马上演移形换影大法

   白利用的集大成者:新型远控木马上演移形换影大法

完成后,调用生成的certmgrx.exe将xxxx.cer加入到系统信任证书的列表中——这样一来,假cloudmusic.dll所带的假签名也摇身一变成为“真签名”了

白利用的集大成者:新型远控木马上演移形换影大法

白利用的集大成者:新型远控木马上演移形换影大法

完成这一步后,由于假签名所依赖的假证书已经生效,便可以有恃无恐地进行后续动作——向当前目录下的temp文件夹里释放新的木马文件:

白利用的集大成者:新型远控木马上演移形换影大法

白利用的集大成者:新型远控木马上演移形换影大法

白利用的集大成者:新型远控木马上演移形换影大法

与之前木马结构类似TEST1.exe依然是网易云音乐的主程序,而新的cloudmusic.dll则是真正的木马本体。

木马本身并没有太多新意,故此也不再赘述。该木马的特点就体现在FileProtocolHandler函数的利用上,多一层的系统文件的跳转让许多主动防御类安全软件难以追踪和识别,再加上本身利用网易白程序和导入假证书的手法,多种白利用手段相结合,确实会让市面上许多安全软件哑火。




原文发布时间为:2017年6月23日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

目录
相关文章
|
云安全 运维 监控
案例分享|游戏黑客肆意侵袭,阿里云打响“襁褓”保卫战
公元2021年8月6日《弈剑行》铸剑三年开封在即,正值贼寇ACCN猖狂之风正盛,此时“弈剑元世界“初生,兵力虚弱时遇贼寇进犯,三位铸剑者“宁为玉碎,不为瓦全”,ACCN索财未果,恼而攻城。千日铸剑,溃于一旦,27万“弈剑迷”痛失江湖。
297 0
案例分享|游戏黑客肆意侵袭,阿里云打响“襁褓”保卫战
|
安全 网络协议
纽约时报:安全问题将毁掉整个互联网
  越来越多的网络工程师和安全专家认为,要彻底解决当前的互联网安全和隐私问题,只能是放弃当前的网络而打造新的互联网。   至于新的互联网到底是什么样,目前仍在广泛探讨中。但有一点几乎可以肯定,必须要打造一个相对“封闭的社区”。
978 0
|
安全
互联网进病毒高发期 黑客瞄准网络春晚
随着春节长假的临近,互联网进入了病毒的高发期。即时通讯、网络春晚以及网络游戏成了黑客的重点关注对象。 昨日,记者从瑞星公司了解到,截至2010年1月底,瑞星共拦截475万个挂马网站,比前一个月提升近百万;截获新增病毒样本数86万,比前一个月增加20万个。
975 0
|
安全
现实版的黑客大战,这可能是中国黑客做过最燃的事情了
由一场撞击事件引发的黑客大战,80000人参与、被攻击网站超4000多个……这场看似没有硝烟的战争当时是何情景?让我们梦回2001,一起看看吧。 “81192无法返航” ——“呼叫81192,这里是553,我奉命接替你机执行巡航任务,请返航!” ——“81192收到,我已无法返航,你们继续前进,重复,你们继续前进!” 当年的“81192撞机事件”不仅是我们永远的痛,也成为黑客大战的直接导火索。
1234 0
|
安全
当过水泥工,25岁研究出超级病毒,堪称杀毒界的“疫苗”
说到底,做病毒,已经没有了市场,已无利可图。相较于生产病毒,钓鱼软件、流氓软件更容易变现,黑客们已经不再青睐病毒了。移动时代的到来,监管机制的成熟,也扼杀了病毒的产生。
1899 0
|
Web App开发 安全
下载站行业乱象:流氓软件和电脑病毒重灾区
本文讲的是下载站行业乱象:流氓软件和电脑病毒重灾区,火绒实验室通过长期研究和跟踪发现,下载网站已经成为目前PC互联网安全威胁的重灾区,不光各种侵害用户权益的事情普遍存在,同时也是电脑病毒的重要传播源头。令人费解的是,这些侵权行为不单单存在某几个下载站,而是目前所有主流下载站的普遍行为。
2171 0