隐蔽而危险的幽灵木马
2017年异常活跃的不止勒索软件,还有一类极为特殊的木马群体,它们盘踞在比Windows系统更早启动的“异度空间”,伺机进行操作,它们通常极其隐蔽,检测难度远远高于普通木马,而且拥有对整个系统和软件的生杀大权。它们就是活跃在BIOS(基本输入输出系统)、MBR(磁盘主引导记录)、VBR(卷引导纪录)等系统空间的“幽灵木马”。
360安全中心在2017年全球率先拦截并查杀了包括“谍影”、“暗云Ⅲ”、“双枪”、“隐魂”等在内的多款幽灵木马。相比于此前,本年度所发现的幽灵木马出现了新的手法和特征,例如直接带已知的漏洞提权,使用MBR、VBR多重感染形成自我保护,此外,今年国内还出现了首例感染UEFI的谍影木马。
下面,就以上述极具代表性的木马为例进行具体分析。
1、谍影:国内首例批量刷机传播的BIOS木马
今年4月,360安全中心接到用户求助,反映其电脑系统自动创建名陌生账号,杀毒软件反复报毒,即使重装系统仍然无法清除木马,与以往的BIOS恶意代码相比,谍影木马具有更强的兼容性和更高的技术水平:
一、 主板兼容性强,支持的BIOS版本非常多,是目前已知的唯一能够感染UEFI主板的木马。谍影木马会感染UEFI兼容模式的BIOS引导模块,UEFI+GPT模式不受影响。在此前2011年出现的BMW BIOS木马(国外厂商命名为Mebromi),则仅支持感染特定的Award BIOS;
二、 系统兼容性强,支持所有主流的32位和64位Windows平台,包括最新的64位Win10,内核无任何实体落地文件。
图一:用户感染谍影木马后症状
详细分析报告:
http://www.freebuf.com/articles/system/133243.html
(可复制链接后到浏览器中查看)
2、暗云Ⅲ:与急救箱进行疯狂查杀对抗
早在2016年12月份,360安全卫士查杀团队首次发现了暗云的新一个变种,这就是今年兴起的暗云Ⅲ木马。此版本跟以往版本最大的不同之处,在于暗云Ⅲ加入了对360急救箱查杀对抗,占位了急救箱的驱动所有设备名。
图二:占坑急救箱设备名,正常为 Device设备,而暗云为Event设备
并且暗云Ⅲ能通过挂钩磁盘StartIO保护自身,去掉了上一个版本Object钩子,保留了DPC保护,在2016年12月,360安全卫士就已经专门为查杀此顽固木马下发了新驱动,一旦发现自身设备名被占用,即判定为暗云Ⅲ设备并开启查杀修复。
图三:DPC保护
详细分析报告:
http://blogs.360.cn/blog/%E6%96%B0%E6%9A%97%E4%BA%91%E6%9C%A8%E9%A9%AC%E5%88%86%E6%9E%90/
(可复制链接后到浏览器中查看)
3 、双枪:首例连环感染MBR和VBR的木马
该木马是目前发现的首例既感染MBR 又感染VBR的顽固木马,“双枪”木马首先感染MBR,MBR加载执行后会进一步感染VBR,VBR启动后释放一个驱动,并从网上下载改首页的木马驱动,而这个驱动将进一步检测MBR的状态。如果MBR被修复或未感染成功则回写MBR重复感染。MBR、VBR和恶意驱动的循环感染形成了木马的三重保护机制,只要有一个没被彻底清除,都可能导致木马原地复活。
被感染的VBR会释放并下载恶意驱动,这个驱动除了判断系统进程,更改并锁定中招电脑所有浏览器的主页外,还具备极强的木马保护功能,与杀软展开强有力的对抗。比如,它启动后就把驱动名指向加白驱动名,以此躲避杀软。
此外,它会保护MBR挂钩磁盘底层设备,对抗杀软的修复;篡改NTFS文件系统的驱动对象派遣函数,并开系统线程保证NTFS上的挂钩不被修复,以免正常进程删除它的木马文件;并且由于该驱动会抢先启动,也使清除木马难度变得更高。
图四:双枪注入的进程名列表
图五:修改主页
详细分析报告:
http://www.freebuf.com/articles/web/140113.html
(可复制链接后到浏览器中查看)
4 、隐魂:查杀难度创史上新高
该木马捆绑在大量色情播放器的安装包中,从而诱导网民下载,入侵后劫持浏览器主页并安插后门实现远程控制。从感染方式上来说,不同于恶意程序直接写入MBR的木马,“隐魂”入侵后选择了关机回调的方式伺机启动。电脑关闭前一刻是不少安全软件的监管盲区,“隐魂”就是趁这个空挡植入磁盘底层。同时,它还启动了多达5个白利用文件,以此与安全软件进行对抗。
从攻击手段上来说,“隐魂”木马使用了多个漏洞组合,这是在以往MBR木马中前所未见的。其中,于2015年曝光的老版本Adobe提权漏洞威力格外惊人,它能绕过不少安全软件直接在内核中执行任意代码,是黑客攻击的一个大杀器。
从反侦察能力上来说,“隐魂”可以说是迄今为止的集大成者,它的写入过程完全依靠驱动,不会留下任何落地驱动文件;它会通过RPC远程调用的方式创建进程,木马源头很难被追溯。更值得一提的是,“隐魂”的执行过程十分复杂,在每次写入动作之前,都会小心翼翼地检测电脑上是否存在网络抓包工具、进程监控工具、调试器、反汇编工具、虚拟机等,如果存在上述情况之一,就会即刻停止感染执行,很大程度上避免了被安全研究者逆向。
除了使用字体提权漏洞外 该木马还有如下特点:
(1)隐蔽性极高:“隐魂”木马会通过挂钩磁盘底层驱动实现自我保护,普通的ARK工具或查杀类工具无法深入磁盘底层,难以有效检测到MBR被修改;同时,应用层代码在TimerQueue中调度,目前除了利用调试器进行反复测试外,根本没有其他方法能检测该系统触发机制;另外,内核LoadImage挂钩代码在Nt节的空白区域,这部分在未知内存区域执行的代码也是检测工具的一大盲区。
(2)对抗性极强:为了与检测工具及杀软对抗,“隐魂”使用签名和PDB文件名方式,禁止一系列驱动加载,即使加载成功相关功能函数也会被IAT挂钩。
(3)兼容性极高:“隐魂”是目前支持系统范围最广的MBR木马,从Windows XP到Win10X64位最新系统的均支持,兼容性远远超过2016年开始活跃的暗云Ⅲ木马。隐魂木马将自身挂钩代码插入到Nt节空隙区域,躲避了系统的检测机制 暗云系列木马在win10系统上会蓝屏,而隐魂则不会。
图六:回调代码空隙区域
图七:真正的代码区域
图八:木马挂钩回调函数
图九:提权漏洞带驱动关机回调中写入MBR
图十:篡改用户主页
详细分析报告:
http://www.freebuf.com/articles/system/144792.html
(可复制链接后到浏览器中查看)
勤打补丁常更新
360安全卫士要开启
当前各种幽灵木马层出不穷且不断翻新,其复杂的自我保护机制与隐蔽性,使得杀毒软件难以将其彻底清除。针对当前严峻的网络安全形式,360安全中心建议用户开启安全软件实时防护,打好系统补丁,并且及时为包括Adobe在内的常用软件更新升级,避免黑客利用老版本软件的漏洞实施攻击。
另外,目前360安全卫士已经专门为查杀幽灵木马下发了新驱动,用户只要正常开启360安全卫士,就能够防御各类幽灵木马。如果关闭安全软件而不慎中招,可以使用360系统急救箱进行查杀。
来源 360安全卫士
评论
直达楼层