请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
本帖最后由 飞机飞行 于 2017-5-3 17:06 编辑

360社区

360社区

0x00 简介

不久前,广州网友李先生向360安全中心求助,反映他的电脑系统自动创建名为aaaabbbb的陌生账号,杀毒软件反复报毒,即使重装系统仍然无法清除病毒。

经过360工程师远程协助的初步判断,李先生电脑主板BIOS很可能感染了恶意代码。为此,我们请李先生把主板邮寄到360公司北京总部进行分析,发现这是一种前所未见的新型BIOS BOOTKIT。由于它会在系统中设置间谍账号进行远程控制,我们将其命名为谍影木马。

与以往的BIOS恶意代码相比,谍影木马具有更强的兼容性和更高的技术水平:

一、全球首例感染UEFI主板的真实攻击。谍影木马支持的BIOS版本非常多,是目前已知的唯一能够感染UEFI主板的木马。谍影木马会感染UEFI兼容模式的BIOS引导模块,UEFI+GPT模式不受影响。在此前2011年出现的BMW BIOS木马(国外厂商命名为Mebromi),则仅支持感染特定的Award BIOS;

二、系统兼容性强,支持所有主流的32位和64位Windows平台,包括最新的64位Win10。

360社区

360社区

图:64位Win10感染谍影木马触发微软PATCH GUARD 导致反复蓝屏  [/i]

据了解,李先生是由网店购买的此二手主板。根据网络搜索谍影木马的中招现象,李先生的遭遇也并非个例。从现有样本推测,恶意代码可能是由编程器刷入主板BIOS,通过电商渠道贩卖流通。

鉴于主板结构的复杂性和特殊性,现阶段只有重刷BIOS才能够彻底清除谍影木马。以下是对谍影木马技术原理的详细分析。

0x01 BIOS与UEFI

BIOS是英文\Basic Input Output System\的缩略词,直译过来后中文名称就是\基本输入输出系统\。其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。优先于操作系统执行,负责加载执行MBR代码,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。

UEFI ( Unified Extensible Firmware Interface )全称“统一的可扩展固件接口”,是一种新的主板引导项,正被看成是有近 20 多年历史的 BIOS 的继任者,自 Win8 以来得到了微软的力推。 UEFI号称通过保护预启动或预引导进程,可以抵御 Bootkit 攻击,相比 BIOS 具有更高的安全性。

0x02技术分析

2.1  CSM模块分析

木马位于BIOS文件中

360社区

360社区


主板为ASUS 华硕的 B85M-G-ASUS-0904。和正常的BIOS不同之处,在马主板的CSMCORE模块比正常的要大。应该只能在LEGACY MODE下有效,而通过UEFI启动的应该无效。(CSM(Compatibility support Module)表示兼容模块,该选项专为兼容只能在legacy模式下工作的设备以及不支持或不能完全支持UEFI的操作系统而设置。)

360社区

360社区


木马在该 BIOS 模块中,加入了自己的功能,挂钩系统了正常函数来执行。

正常的函数如下:

360社区

360社区


木马挂钩了该函数改为:

360社区

360社区


将原有函数的第一条指令改为 CALL ,从而获得执行机会:

360社区

360社区


之后其会判断 R9 寄存器所指内容是否为 3 ,可能是 BIOS 初始化成功的一个标志,然后搜索 BIOS 内部特征码 CD 19 B8 00 80 CB 00

360社区

360社区


应该是 BIOS 内部初始化后,调用中断 INT19H 实现加载硬盘第一个扇区 MBR 执行的代码。然后修改 0X413 处的数据,预留 40KB 空间,用来存放木马代码,并将 BIOS 内的代码拷贝到该预留空间。并将前面找到的 BIOS 内部初始化后,调用中断 INT19H 实现加载硬盘第一个扇区 MBR执行的代码,改为调用木马自身的代码。

360社区

360社区


2.2  INT15 挂钩分析

然后,返回继续执行,当执行到 BIOS 初始化好,准备加载磁盘 MBR 代码的时候,就会执行木马的代码。木马这时候会挂接 INT15H 中断,然后恢复执行原来的代码,这样就完成了挂钩,后续就和暗云系列的 MBR 木马相似,通过挂钩 INT15H 来一步一步的挂钩内存,加载自身。

360社区

360社区


这样,当系统 MBR 获得执行的时候,木马已经在内存中挂好了 INT15h 的 HOOK, 之后,会 HOOK bootmgr!Archx86TransferTo64BitApplicationAsm 获得下次执行机会,然后再 HOOK winload!OslArchTransferToKernel, ,然后等内核加载时候会 HOOK ZwCreateSection ,从而切入到内核运行,然后会设置线程回调。

2.3  线程回调挂钩

接下来会设置线程回调 PsSetCreateThreadNotifyRoutine和进程回调PsSetCreateProcessNotifyRoutine,进程回调中只打印了下\Process %d Create %d\\n\,线程回调才是关键内容。

360社区

360社区


线程回调中木马判断是否为csrss.exe进程,如果不是则跳过,如果是就创建一个系统线程,并且插入一个工作线程,将自身的线程回调抹去。

360社区

360社区


2.4  内核线程网络下载代码

在创建的系统线程内会先等待 1 分钟大概是为了等网络准备好。

360社区

360社区


然后会尝试使用两种方式去下载恶意 Code 到内核执行,优先尝试UDP  DownLoadShellCodeByUDP,函数为解析 [url=]www.XXXX.top [/url][/i]域名。使用0xDEDE43D0 0x8080808,两组DNS域名转化过来,即(222.222.67.208   8.8.8.8)与 [url=]www.XXXXtop [/url][/i]通信端口为0x801F即8064号端口。

优先使用0x3500即53号端口请求域名服务,拿到 [url=]www.XXXX.top[/url][/i] 域名对应地址。

360社区

360社区


先请求服务器,询问 Shellcode 长度分片大小,然后一个一个分片处理,最后拼接一起。

发送数据包为,长度为0x10。

360社区

360社区


接受数据包为:

360社区

360社区



总长度为0x28,头部长度为0x10,数据部分长度为0x18,校验和为0xd845672a。

Shellcode长度为0x1a32d,总共有 0xd2个分片,每个分片大小为 0x200。

360社区

360社区

在使用UDP方式收发数据时候会对数据部分进行校验。

360社区

360社区


校验成功才拼接在一起,否则丢弃,然后再申请非分页内存。
将之前的内存代码拷贝执行,将NT基地址作为参数传入。

360社区

360社区


2.5 解密恶意代码和投递APC

下载下来的代码仅头部可以执行,后面部分为加密数据,需要解密执行。  调用函数为RtlDecompressBuffer,解密后大小为150728,解密方式为 OMPRESSION_FORMAT_LZNT1。

360社区

360社区


接着会调用填充导入表:

360社区

360社区


然后调用PsCreateSystemThread创建注入线程。

360社区

360社区

线程中:

360社区

360社区


优先查找系统进程注入找到的是spoolsv.exe。

360社区

360社区


然后再是杀软进程:

360社区

360社区


申请内存拷贝注入:

360社区

360社区


插APC注入:

360社区

360社区


2.6  执行用户层恶意下载代码

注入后从应用层执行,代码中包含一个DLL文件,执行函数为申请内存基地址。

360社区

360社区


然后获取Kernel32 模块基地址,跟 LoadLibraryA  GetProcAddress VirtualAlloc,填充内存中PE文件导入表,填充完成后执行DllMain函数。

360社区

360社区


会在DllMain中创建线程,执行下载并且运行,根据控制码暂停或者删除相关服务。

线程函数:

360社区

360社区


提权操作解密下下载地址数据。解密后内容为:

360社区

360社区


根据控制码暂停或者删除服务:

360社区

360社区


然后分三种方式运行: (DLL加载,父进程注入,直接创建EXE运行)

360社区

360社区


2.7  创建恶意账号

这里下载下来的是一个EXE,主要功能就是创建了一个管理员账号。

360社区

360社区


截图:

360社区

360社区

0x03结束语

影木马可寄生在包括UEFI主板在内的多种版本BIOS里,非常精细地针对性感染BIOS引导模块,通杀Windows全平台实施远程控制,呈现出高危害、高复杂度和高技术水平的“三高”特点。

为了预防谍影木马,360安全中心建议网友:尽量选择官方渠道购买电脑配件,并开启安全软件实时防护。如果遇到电脑开机登陆界面缓慢、系统出现陌生账号、安全软件反复报毒等可疑情况,最好向安全厂商求助,以防木马病毒对个人数据和财产造成损失。

bmd911 + 1 经验 乐于助人

共 1 个关于谍影追踪:全球首例UEFI主板BIOS木马分析的回复 最后回复于 2021-11-10 13:55

评论

直达楼层

bmd911 LV2.下士 发表于 2021-11-10 13:55 | 显示全部楼层 | 私信
真是可怕呀
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:184 关注:13 积分:248737

精华:345 金币:236289 经验:206911

最后登录时间:2024-10-5

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章

私信 加好友

最新活动

【秋意浓,露华生】白露的传说与各地习俗

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表