BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查

本文主要是介绍BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。

鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,安全团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。

一、“大灰狼”的伪装

以下是10月30日一天内大灰狼远控的木马样本截图,可以看到该木马变种数量不少、伪装形态更是花样繁多。

<img src="https://i-blog.csdnimg.cn/blog_migrate/25142ae549d28243a9b42a2ac7762a8e.jpeg" title="1.jpg"/></p>

大灰狼使用了不少知名软件图标,在此提醒网民在点击运行可疑来源的文件之前,最好查看属性通过数字签名判断文件真伪,而不要被文件名和图标迷惑:

<img src="https://i-blog.csdnimg.cn/blog_migrate/4a9832be6654a4074901b21bc3425894.jpeg" title="2.png"/></p>

二、木马程序分析

由于木马样本数量比较多,我们不一一列举,以下提供几例来说明。

本文用到的恶意代码md5:

0b1b9590ebde0aeddefadf2af8edf787
0ea5d0d826854cdbf955da3311ed6934
19c343f667a9b958f5c31c7112b2dd1b
d16e6ef8f110196e3789cce1b3074663

1、动态调用系统函数,躲避杀毒查杀

大灰狼远控由于长期的被杀毒追杀,所以大量的使用动态调用系统api,来躲避查杀,所有的文件相关操作都采用了动态调用的方式。

<img src="https://i-blog.csdnimg.cn/blog_migrate/b0e66c6c0f92b41ef9cc289696804d71.jpeg" style="float:none" title="3.jpg"/></p>

<img src="https://i-blog.csdnimg.cn/blog_migrate/2de6d13c848f5aac1b19a73e0633945b.jpeg" style="float:none" title="4.jpg"/></p>

<img src="https://i-blog.csdnimg.cn/blog_migrate/90a1bcb3e45f6b59b10846bf347c3d2a.jpeg" style="float:none" title="5.jpg"/></p>

<img src="https://i-blog.csdnimg.cn/blog_migrate/60a96586cc3ae90f890ece6ad15d9370.jpeg" style="float:none" title="6.jpg"/></p>

几乎所有的样本都需要动态的解码才能获取到相关的函数调用。

在IDA里,我们可以看到木马使用的手段:

<img src="https://i-blog.csdnimg.cn/blog_migrate/13ea80c6fd16264e9db7dffd079b6057.jpeg" title="7.jpg"/></p>

2、远程下载加密文件,并且本地解密

<img src="https://i-blog.csdnimg.cn/blog_migrate/9a1a19a70a9ebeee9e6c37e47499769f.jpeg" title="8.jpg"/></p>

木马程序为了方便远程的文件更新,会把恶意代码放在远程的一个服务器中,而且会对这个文件进行加密,需要在本地解密,然后装载到内存中,在本地文件中无法得到解密后的文件,只有一个被加密的残留文件:

<img src="https://i-blog.csdnimg.cn/blog_migrate/1bcd9a6a2ae97edc4f53bbcb16016158.jpeg" title="9.jpg"/></p>

通过调用木马本身的解密程序,我们对这个木马的文件进行了解密,但是木马会把这个代码放在内存中,这是解密后抓取的相关文件,是一个可执行的文件:

<img src="https://i-blog.csdnimg.cn/blog_migrate/e53165adad013760953a1e7bbb5d9276.jpeg" title="10.jpg"/></p>

为了方便伪装,木马文件使用了其他公司的版权信息:

<img src="https://i-blog.csdnimg.cn/blog_migrate/a44e6e4dc9ef23b7f8624619b17dcf58.jpeg" title="11.jpg"/></p>

3、大量增加无关函数调用,检测和对抗杀毒软件

为了增加分析的难度,内存中抓取的文件也是被加密的,这个文件是程序执行的主要部分,为此我们还要继续解密。

<img src="https://i-blog.csdnimg.cn/blog_migrate/caedcb270d5a2861ff17d0f6b570ff7a.jpeg" title="12.jpg"/></p>

经过继续的解密和分析,最终的解密文件的内部函数调用是这样的:

<img src="https://i-blog.csdnimg.cn/blog_migrate/5dbcaeaf9cede2fcbadccf2afd0f623f.jpeg" title="13.jpg"/></p>

也有的是这样的:

<img src="https://i-blog.csdnimg.cn/blog_migrate/fbdb06802d1babd30d84fea2b0be4fab.jpeg" title="14.jpg"/></p>

这些调用显然与普通程序不同,这是一种通过大量增加类似sleep和Rectangle等跟木马功能完全无关的api调用,来实现干扰杀毒查杀的手段。

同时还会木马程序还会遍历检测各个杀毒软件:

<img src="https://i-blog.csdnimg.cn/blog_migrate/176f974b44c9f5de59241204d1a7f2a7.jpeg" title="15.jpg"/></p>

为了躲避杀软的追杀,还采用了域名、网盘空间上线等上线方式:

<img src="https://i-blog.csdnimg.cn/blog_migrate/059853796ac5cfa78edabe883e22577c.jpeg" title="16.jpg"/></p>

通过以上的木马样本分析,我们可以看到,大灰狼远控具有比较丰富的免杀和对抗经验,那么木马作者究竟是什么人呢?接下来,我们需要按图索骥去追查这个木马的来源和幕后情况。

三、真凶调查

在处理数百个样本的过程中,我们逐步锁定了一个很关键的域名,这个域名在上文中相信大家也看到了:ckshare.com。

通过域名查询我们定位到了牧马人:

<img src="https://i-blog.csdnimg.cn/blog_migrate/96b4e9cbfba777a06bb29e4682ecaad2.jpeg" title="17.jpg"/></p>

通过搜索引擎还发现了非常关键的信息:一个专门销售大灰狼木马的网站。

<img src="https://i-blog.csdnimg.cn/blog_migrate/48650bb9af55c52f27c82039596e94a0.jpeg" title="18.jpg"/></p>

我们按照帖子的提示找到了该网站:

<img src="https://i-blog.csdnimg.cn/blog_migrate/57134ac927ab5f1824f5d3881b4a2954.jpeg" title="19.jpg"/></p>

这个网站的客服居然就是域名的所有者,显然这个qq就是牧马人了。

<img src="https://i-blog.csdnimg.cn/blog_migrate/eb33b1bb20ecd332a2f7efd9037dfbb9.jpeg" title="20.jpg"/></p>

我们发现该网站貌似正规,居然还有网站的备案信息:

<img src="https://i-blog.csdnimg.cn/blog_migrate/cc7852c8827591c1d3c21212e14490b1.jpeg" title="21.jpg"/></p>

通过获取的备案域名查询工信部网站的相关资料:

<img src="https://i-blog.csdnimg.cn/blog_migrate/bfbe86a9f676a1478a4912ae8760af68.jpeg" style="float:none" title="22.jpg"/></p>

<img src="https://i-blog.csdnimg.cn/blog_migrate/c6e9b91446874317ba36bc38cb042e91.jpeg" style="float:none" title="23.jpg"/></p>


显然这个域名和备案信息是不一致的。那么这个备案信息对应的究竟是哪个域名呢?

<img src="https://i-blog.csdnimg.cn/blog_migrate/ace9f57e0f9634fbc4d40e03146e614f.jpeg" style="float:none" title="24.jpg"/></p>

<img src="https://i-blog.csdnimg.cn/blog_migrate/a9342fb2c986546bdf94c3bd436ab38e.jpeg" style="float:none" title="25.jpg"/></p>

可以看到备案信息就是木马的下载地址。同时下面还有一堆的域名,显然是牧马人留作备用的,同时我们获取了牧马人姓名等重要信息。

继续查询这个域名的解析ip是在广东省,然而域名相关的地址是河南,显然牧马人可能会有其他马甲,继续追查。

<img src="https://i-blog.csdnimg.cn/blog_migrate/93e8cdc825a49e6998c9839854601c07.jpeg" title="26.jpg"/></p>

由于大灰狼远控网站提供的联系信息,我们进一步追查终于定位到了牧马人的重要信息,并假装买主与之联系:

<img src="https://i-blog.csdnimg.cn/blog_migrate/d3bb36b36b5835731a8490720aac2476.jpeg" title="27.png"/></p>

在追查的过程中,我们最终掌握了该网站的大灰狼远控销售状况:

<img src="https://i-blog.csdnimg.cn/blog_migrate/f79ab93e73e32481ea9ee701029ecfb6.jpeg" title="28.png"/></p>

由于牧马人采用不同的等级销售方式,我们有理由确认这是一个资深的黑产“从业者”:

<img src="https://i-blog.csdnimg.cn/blog_migrate/ca70208fe1b97c76b4d2afca93c6a8c0.jpeg" style="float:none" title="29.png"/></p>

<img src="https://i-blog.csdnimg.cn/blog_migrate/732dc3aef8b9f5660638548dd519929c.jpeg" style="float:none" title="30.png"/></p>

由于该牧马人有所戒备,难以通过qq聊天套出更多信息。不过从他炫耀的后台管理来看,与我们监控的木马传播状况是大体一致的,由此也佐证了这位木马贩子就是大灰狼远控的幕后黑手。

四、安全提醒

通过此次调查,安全团队逐步掌握了大灰狼远控的主要来源,这个远控木马在bt天堂挂马事件中非常猖獗,甚至把政府网站作为木马的下载地址,长期、持续地威胁着网民的财产和信息安全。

防范大灰狼一类远控木马的几个小建议:

1、及时打补丁。

2、XP用户一定要开启安全软件防护。

3、运行未知程序之前检查文件是否有正规的数字签名。

这篇关于BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1148443

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

禁止平板,iPad长按弹出默认菜单事件

通过监控按下抬起时间差来禁止弹出事件,把以下代码写在要禁止的页面的页面加载事件里面即可     var date;document.addEventListener('touchstart', event => {date = new Date().getTime();});document.addEventListener('touchend', event => {if (new

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号

【软考】希尔排序算法分析

目录 1. c代码2. 运行截图3. 运行解析 1. c代码 #include <stdio.h>#include <stdlib.h> void shellSort(int data[], int n){// 划分的数组,例如8个数则为[4, 2, 1]int *delta;int k;// i控制delta的轮次int i;// 临时变量,换值int temp;in

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师,爱吃土豆。如有需要技术交流或者需要方案帮助、需求:以下为联系方式—V 方案1:通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通过IO+EXIT中断的方式进行霍尔传感器数据的读取。将IO口配置为上升沿+下降沿中断触发的方式。当霍尔传感器信号发生发生信号的变化就会触发中断在中断

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理,在有一定基础认识的前提下,通过阅读kubelet源码,对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管理(pod生命周期管理) 监听apiserver的容器事件 容器的创建、删除(CRI) 容器的网络的创建与删除