《安天针对暗云ⅲ的样本分析及解决方案》由会员分享,可在线阅读,更多相关《安天针对暗云ⅲ的样本分析及解决方案(23页珍藏版)》请在金锄头文库上搜索。
1、目 录初稿完成时间:初稿完成时间:2017 年年 05 月月 30 日日 20 时时 38 分分首次发布时间:首次发布时间:2017 年年 06 月月 10 日日 05 时时 38 分分本版更新时间:本版更新时间:2017 年年 06 月月 12 日日 17 时时 00 分分安天针对 “暗云” 的样本分析及解决方案安天安全研究与应急处理中心(Antiy CERT)扫二维码获取最新版报告1 事件回顾.12 “暗云”进行 DDOS 攻击的目标.13 “暗云“样本分析.33.1模块 1 分析.93.2模块 2 和 MBR 写入分析. 123.3模块 4 样本分析.154 解决方案.175 “暗云“之
2、思.19附录一:参考链接.20附录二:关于安天.20安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 1页1 事件回顾安天安全研究与应急处理中心(Antiy CERT)在北京时间 5 月 26 日 19 时,监测到中国发生了一次大规模的 DDoS 攻击事件。参与攻击的源地址覆盖广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。研究人员将此次攻击命名为“RainbowDay”“暗云” 。经过多次取证分析发现,其恶意代码感染量较大,并且其恶意代码的功能非常复杂,利用带有正常数字签名的文件进行传播,同时具有下载文件执行、刷流量、DDoS 攻击等行为。2 “暗云”进行 DDoS 攻击的
3、目标本次攻击开始于5月26日19时, 全国有大量真实IP地址被动发起DDoS攻击, 随后又进行了二次DDoS攻击。按时间顺序,其攻击目标有三个:遭受攻击的 IP攻击情况说明183.60.111.150攻击第一阶段,于 5 月 26 日 19 时全国大量真实 IP 地址开始攻击 183.60.111.150,一直持续到 28 日凌晨 3 时结束。经调查,该 IP 为广东佛山高防机房。59.153.75.7攻击第二阶段,于 5 月 28 日早 7 时左右开始攻击 59.153.75.7,该 IP 为辽宁省途隆公司的高防机房。据途隆公司所说,“从 2017 年 5 月 28 日 8:14:10, 途
4、隆云高防 BGP 数据中心遭受了黑客组织激烈的定向攻击,本次攻击一直持续到 16:31:51,历时 8 小时,攻击流量达到 650G 多,攻击强度达到每秒 3 亿次连接”。150.138.145.101该 IP 为青岛市电信。5月28日发现大量用户机器向指定的59.153.75.7 IP地址发数据包, 每秒发包数次并且数据量非常大。安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 2页有大量真实 IP 地址在此期间对三个目标进行 DDoS 攻击, 下图为一些受害 IP 向 C2 服务器发起的请求,每个真实 IP 都请求了十几次以上。通过对 C2 地址的追溯,我们发现此 DDoS 事件
5、是通过在 C2 地址获取配置后所进行的 DDoS 攻击。从一些数据上来看参与 DDoS 攻击的 IP 地址并不是全部,只是部分受害 IP 更新了配置从而进行 DDoS 攻击。安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 3页3 “暗云“样本分析本次 DDoS 攻击事件最原始的传播是通过捆绑在下载器中的软件和一些 Patch 正常游戏微端的方式将ShellCode 捆绑到正常游戏中,修改了游戏程序中的一个资源文件 PNG,在其尾部添加大量的 ShellCode 代码。执行后会从网络上下载一个配置文件,读取配置文件中的下载地址,下载并执行所下载的 DLL 文件;然后再次通过网络下载文
6、件 upcfg.db(具有写 MBR 功能的模块 3)执行。执行后再一次连接网络下载文件lcdn.db(lua 脚本解释器)和 ndn.db(lua 脚本文件)执行 DDoS 功能,lcdn.db 的功能是 DDoS,而 ndn.db是 lua 脚本。整体执行流程如下图所示:安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 4页安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 5页具体流程描述如下。1.游戏文件具有数字签名:2.通过对游戏执行流程修改来启动病毒代码,病毒执行完后再跳回游戏程序流程,让游戏可以正常运行:安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第
7、 6页3.查找资源中的 PNG 文件:4.加载找到的 PNG 文件并执行 ShellCode:5.加载 ShellCode 并执行:安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 7页6.通过 ShellCode 解压出另一个 ShellCode 和模块 1:7.执行后会加载模块 1 并执行:安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 8页整个传播通过 Patch 对一些游戏进行修改,添加一些 ShellCode 并执行。ShellCode 的功能为加载被替换的资源并解压执行一个模块 1,模块 1 功能请看如下分析。安天针对 “暗云” 的样本分析安天版权所有,欢迎无
8、损转载第 9页3.1 模模块块 1 分析分析模块 1 为传播文件中最后要执行的文件。该模块运行后会检查系统环境是否在虚拟机中,尝试关闭指定的安全软件,并查看计算机是否为网吧中的计算机,然后将系统信息回传到服务器上。服务器会根据返回信息发送一个配置文件,其功能是下载一个 DLL 文件并执行,DLL 文件功能为下载 upcfg.db 文件。1.通过读 weblander.ini 判断安装包文件格式,必须包含两个下划线、一个点及推广号:2. 通过 WMI 查询磁盘名称,检测是否运行在虚拟机中:安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 10页3. 通过 WMI 查询进程列表,检测是否
9、存在网吧管理软件:安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 11页4. 通过 WMI 检测杀毒软件:安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 12页5. 上传系统信息,如 MAC 和推广 ID:信息回传后会获取一个下载配置信息,下载 LDrvSvc.zip 并通过 rundll32.exe 加载 DLL 文件,其为驱动人生的一个安装包,里面有一个 DtCrashCatch.dll 恶意文件,用于网络中下载感染 MBR 的文件 upcfg.db 模块。3.2 模模块块 2 和和 MBR 写入分析写入分析模块 2 功能主要是从网络中下载 upcfg.db 文件并
10、解密,得到其中的 ShellCode。下载后的 upcfg.db 文件需要进行解密,通过判断其前 4 个字节是否为 0xA5A5A5A5 来调用后面的ShellCode 执行。安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 13页其后续的 ShellCode 功能仍是用 RtlDecompressBuffer 进行解压,得到另外一个 ShellCode 代码。执行后会在内存中执行一个模块 3,模块 3 为修改 MBR,实现长久驻留系统的功能,内部带有 ShellCode。该文件是在受害机上提取的 MBR 文件,通过分析,我们确定其为被感染的主机。安天针对 “暗云” 的样本分析安天版
11、权所有,欢迎无损转载第 14页在 MBR 中发现有一个控制域名 。安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 15页3.3 模块模块 4 样本分析样本分析模块 3 访问 kn.html 页面请求配置信息并执行相关配置信息。获取配置信息,并从中取出 lcdn 的下载地址。验证文件是否合法。对 lcdn 文件进行解密,下图为部分解密算法。安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 16页创建 svchost,并将解密后的代码注入,并执行安天针对 “暗云” 的样本分析安天版权所有,欢迎无损转载第 17页4 解决方案根据“暗云”木马程序的传播特性,CNCERT 建议用户近期采取积极的安全防范措施2。安天建议:1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。2、定期在不同的存储介质上备份信息系统业务
