飞机飞行 发表于 2021-3-5 14:43

Win 10 蓝屏与流氓捆绑罪魁祸首:小易木马

一、概述

近期,360安全大脑监测到一类导致蓝屏的驱动木马现身网络,该木马以不正规网站的免费软件下载器作为载体,诱导用户下载安装后入侵受害者电脑,篡改浏览器首页,捆绑安装流氓软件,窃取用户机器信息,并导致win10机器触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。



鉴于此类下载器会同时捆绑安装“小易记事本”等流氓软件,并在驱动木马中操作小易记事本相关注册表(Enotepad),故将其命名为“小易木马”。

不过广大用户无需担心,360安全卫士即可对此类木马的拦截和查杀。



二、驱动木马功能分析

1. 首页篡改与win10蓝屏触发

此类下载器会释放安装恶意驱动,该驱动木马早期版本篡改浏览器首页为hxxps://www.2345.com/?39403等地址。



同时,该恶意驱动还会导致win10系统触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木马加载运行后在内存中暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本还有一个模块加载回调LoadImage)驻留在内存中,这两点都会触发win10 PatchGuard内核保护机制导致蓝屏。



木马回调触发PatchGuard内核保护引起蓝屏

2. 暴力断链隐藏模块

该驱动木马通过操作内核模块ldr双向链表,将自己的驱动模块从双向链表中移除,并将自身驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。





3. 劫持文件系统隐藏文件

该驱动木马通过劫持文件系统,来过滤文件请求操作,从而达到隐藏自己驱动文件的目的。

木马会对IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION这三种类型的IRP进行过滤;

其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防删除保护,处理
IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程负责文件隐藏保护。



例如对于IRP_MJ_CREATE类型IRP的处理中,会判断文件操作的目标是否命中驱动木马文件,如果命中则返回
STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示:



4. 注册回调挂钩函数保护注册表

木马的注册表回调用于保护其驱动对应注册表不被删改,对于低版本的系统,木马还会挂钩系统GetCellRoutine函数来保护自身注册表。

其注册表回调的过滤方式是:如果打开和枚举操作的线程不是木马自己的线程,并且目标注册表键,命中木马自己自身注册表键,则拒绝访问。



并且对于win7及其之前的系统,则以硬编码方式获取GetCellRoutine函数地址,并挂钩该函数,以保护自己的注册表。

在挂钩函数中,木马判断如果注册表的操作线程不是木马自己的线程,则进行过滤操作:木马判断操作的目标注册表节点是否命中自己的注册表节点,如果命中的话,则返回空数据以隐藏自己。



同时,木马在注册表回调中判断自己的GetCellRoutine函数钩子是否被移除,如果被移除的话,则再次进行挂钩。



5. 内核dll注入explorer

在该木马的旧期版本中,还有通过模块加载回调patch ZwTestAlert系统函数,将木马DLL注入到explorer进程的功能。

其详细过程为:木马通过LoadImage模块加载回调,过滤explorer进程对ntdll模块的加载,挂钩ntdll加载过程中调用到的ZwTestAlert函数,即patch ZwTestAlert函数的前5个字节,从而跳转到explorer进程空间内木马写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木马dll,以完成对explorer进程的dll注入。

模块加载回调中判断explorer进程加载ntdll模块:



获取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函数地址,分别用于:修改explorer进程内存属性写入shellcode;shellcode中通过LdrLoadDll函数地址加载木马dll;挂钩ZwTestAlert函数patch前5字节构建相对跳转指令作为跳板,调用到shellcode.



5. 受害者信息回传与后门常驻

该木马驱动加载后,会向木马C&C服务器回传统计受害者用户基本信息,并以此驱动作为入侵受害者机器的基石,进一步榨取受害者机器剩余价值,例如可能通过木马服务器,进一步捆绑安装狗皮膏药类的流氓软件等。



三、安全建议

打着“免费”激活,“免费”软件等的旗号,行病毒木马,流氓软件之事的案例屡见不鲜。但请广大用户无需担心,360安全卫士即可对此类木马进行拦截和查杀。 同时在此推荐广大用户通过360软件管家下载安装正规软件。

希望广大用户不要抱有侥幸等心理,无视360安全卫士的网址拦截与木马运行拦截,保持360安全卫士的常驻保护,警惕360安全卫士所拦截的危险行为。中毒用户亦可下载安装360安全卫士以及360系统急救箱,皆可查杀木马。(http://www.360.cn,http://weishi.360.cn)


来源360官网

摩罗大师 发表于 2021-3-9 14:47

支持一下
页: [1]
查看完整版本: Win 10 蓝屏与流氓捆绑罪魁祸首:小易木马