1月13日,"incaseformat"蠕蟲(chóng)病毒暴力刪除磁盤(pán)文件,引起了不少用戶(hù)對(duì)電腦安全的恐慌����。此次蠕蟲(chóng)病毒,不僅偽造了文件夾圖標(biāo)���、隱藏原始文件夾,還設(shè)置了定時(shí)刪除文件的邏輯����。除了1月13日�,此病毒通過(guò)定時(shí)器還設(shè)定了多個(gè)時(shí)間段����,后續(xù)執(zhí)行刪除文件的時(shí)間為1月23日、2月4日等日期���。在此再次特別提醒廣大用戶(hù),提前進(jìn)行查殺避免下次事件的發(fā)生�。(360安全衛(wèi)士-木馬查殺-全盤(pán)掃描)已安裝360衛(wèi)士用戶(hù)���,無(wú)需升級(jí)��,即可操作。
360安全衛(wèi)士也針對(duì)此病毒��,率先研制了"incaseformat專(zhuān)殺工具"�����。專(zhuān)殺工具查殺此蠕蟲(chóng)病毒更精準(zhǔn)且快速�,并帶自動(dòng)免疫功能����,讓電腦下次不會(huì)再中此病毒。已中毒的用戶(hù)請(qǐng)盡快使用該工具��。(下載路徑:360安全衛(wèi)士—軟件管家中搜索"專(zhuān)殺工具")
近期�,360安全衛(wèi)士團(tuán)隊(duì)持續(xù)收到用戶(hù)反饋win10系統(tǒng)出現(xiàn)藍(lán)屏�����,藍(lán)屏代碼為CRITICAL_STRUCTURE_CORRUPTION(109),藍(lán)屏頻率可能十幾分鐘、半小時(shí)一次�����,嚴(yán)重影響用戶(hù)電腦使用�����。
經(jīng)360安全衛(wèi)士團(tuán)隊(duì)及時(shí)響應(yīng)持續(xù)跟進(jìn)��,確認(rèn)藍(lán)屏原因是用戶(hù)電腦中了驅(qū)動(dòng)木馬,該木馬加載運(yùn)行后主動(dòng)卸載自身驅(qū)動(dòng)及隱藏自身,并將一個(gè)不屬于任何模塊的注冊(cè)表回調(diào)CmpCallback駐留在內(nèi)存中���,觸發(fā)win10 PatchGuard內(nèi)核保護(hù)機(jī)制最終導(dǎo)致了藍(lán)屏。
通過(guò)360安全大腦追蹤溯源,此驅(qū)動(dòng)的源頭為不正規(guī)網(wǎng)站軟件下載器。此類(lèi)下載器還可能會(huì)同時(shí)惡意捆綁安裝"小易記事本"和"加速瀏覽器-2345"這兩款軟件���,并篡改IE瀏覽器首頁(yè)。
廣大用戶(hù)無(wú)需過(guò)分擔(dān)心,安裝360安全衛(wèi)士的用戶(hù)并未受到此次藍(lán)屏的波及�;已經(jīng)出現(xiàn)此藍(lán)屏的用戶(hù)�����,使用360安全衛(wèi)士和360系統(tǒng)急救箱均可以檢測(cè)、查殺此驅(qū)動(dòng)木馬。
微軟在2021年首個(gè)月度安全更新中���,修補(bǔ)了一個(gè)Microsoft Defender遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-1647)�����,很快網(wǎng)上流傳出該漏洞的攻擊代碼���。漏洞出現(xiàn)于Microsoft Defender核心模塊mpengine.dll中��,在掃描特制的PE文件時(shí)就會(huì)觸發(fā)。攻擊者可以利用這一漏洞發(fā)起釣魚(yú)、蠕蟲(chóng)等各類(lèi)攻擊�,在無(wú)需用戶(hù)點(diǎn)擊的情況下即可利用Microsoft Defender自動(dòng)執(zhí)行病毒程序�����,威脅巨大。
360安全衛(wèi)士已在第一時(shí)間加強(qiáng)了對(duì)Microsoft Defender漏洞的防護(hù),當(dāng)漏洞觸發(fā)時(shí)��,安全衛(wèi)士會(huì)自動(dòng)進(jìn)行攔截���,阻止漏洞攻擊執(zhí)行����。
由于Win10系統(tǒng)內(nèi)置Microsoft Defender,在沒(méi)有安裝其它安全軟件的情況下,Defender是默認(rèn)開(kāi)啟的,因此建議Win10系統(tǒng)"裸奔用戶(hù)"及時(shí)安裝1月累計(jì)更新�,或安裝360安全衛(wèi)士����,避免自己的電腦成為黑客手中的"肉雞"���。
日本游戲開(kāi)發(fā)商Capcom針對(duì)其數(shù)據(jù)泄露事件更新了調(diào)查結(jié)果��,并指出���,目前有390,000人可能會(huì)受到11月勒索病毒攻擊事件的影響����。11月2日����,Capcom遭到Ragnar Locker勒索軟件團(tuán)伙的網(wǎng)絡(luò)攻擊�����,后者表示從Capcom竊取了1TB數(shù)據(jù), 并索要價(jià)值1100萬(wàn)美元的比特幣作為贖金�����。在勒索軟件團(tuán)伙泄露了部分失竊數(shù)據(jù)后不久, Capcom公開(kāi)披露其遭受了數(shù)據(jù)泄露����,其中泄露了9種類(lèi)型的個(gè)人信息��。根據(jù)最新調(diào)查結(jié)果,Capcom已經(jīng)確認(rèn)有16,415人的信息被泄露�����,受影響的客戶(hù)及合作伙伴總?cè)藬?shù)可能達(dá)到390,000�����。對(duì)于用戶(hù)更安全的做法是�,無(wú)論是否有跡象表明密碼泄露�,都應(yīng)更改Capcom密碼。若在其他網(wǎng)站使用過(guò)相同賬戶(hù)和密碼�,也需更改密碼�。
0x00簡(jiǎn)介
不久前�����,廣州網(wǎng)友李先生向360安全中心求助�����,反映他的電腦系統(tǒng)自動(dòng)創(chuàng)建名為aaaabbbb的陌生賬號(hào)��,殺毒軟件反復(fù)報(bào)毒�����,即使重裝系統(tǒng)仍然無(wú)法清除病毒���。
經(jīng)過(guò)360工程師遠(yuǎn)程協(xié)助的初步判斷�,李先生電腦主板BIOS很可能感染了惡意代碼。為此�,我們請(qǐng)李先生把主板郵寄到360公司北京總部進(jìn)行分析����,發(fā)現(xiàn)這是一種前所未見(jiàn)的新型BIOS BOOTKIT����。由于它會(huì)在系統(tǒng)中設(shè)置間諜賬號(hào)進(jìn)行遠(yuǎn)程控制,我們將其命名為諜影木馬�。
與以往的BIOS惡意代碼相比����,諜影木馬具有更強(qiáng)的兼容性和更高的技術(shù)水平:
一�、全球首例感染UEFI主板的真實(shí)攻擊。諜影木馬支持的BIOS版本非常多�,是目前已知的唯一能夠感染UEFI主板的木馬����。諜影木馬會(huì)感染UEFI兼容模式的BIOS引導(dǎo)模塊�,UEFI+GPT模式不受影響。在此前2011年出現(xiàn)的BMW BIOS木馬(國(guó)外廠(chǎng)商命名為Mebromi)�����,則僅支持感染特定的Award BIOS�;
二����、系統(tǒng)兼容性強(qiáng),支持所有主流的32位和64位Windows平臺(tái),包括最新的64位Win10���。
圖:64位Win10感染諜影木馬觸發(fā)微軟PATCH GUARD 導(dǎo)致反復(fù)藍(lán)屏
據(jù)了解�,李先生是由網(wǎng)店購(gòu)買(mǎi)的此二手主板����。根據(jù)網(wǎng)絡(luò)搜索諜影木馬的中招現(xiàn)象���,李先生的遭遇也并非個(gè)例�����。從現(xiàn)有樣本推測(cè)���,惡意代碼可能是由編程器刷入主板BIOS�,通過(guò)電商渠道販賣(mài)流通���。
鑒于主板結(jié)構(gòu)的復(fù)雜性和特殊性��,現(xiàn)階段只有重刷BIOS才能夠徹底清除諜影木馬���。以下是對(duì)諜影木馬技術(shù)原理的詳細(xì)分析。
0x01 BIOS與UEFI
BIOS是英文"Basic Input Output System"的縮略詞�����,直譯過(guò)來(lái)后中文名稱(chēng)就是"基本輸入輸出系統(tǒng)"���。其實(shí)���,它是一組固化到計(jì)算機(jī)內(nèi)主板上一個(gè)ROM芯片上的程序����,它保存著計(jì)算機(jī)最重要的基本輸入輸出的程序��、系統(tǒng)設(shè)置信息、開(kāi)機(jī)后自檢程序和系統(tǒng)自啟動(dòng)程序。優(yōu)先于操作系統(tǒng)執(zhí)行���,負(fù)責(zé)加載執(zhí)行MBR代碼,其主要功能是為計(jì)算機(jī)提供最底層的、最直接的硬件設(shè)置和控制。
UEFI(Unified Extensible Firmware Interface)全稱(chēng)“統(tǒng)一的可擴(kuò)展固件接口”����,是一種新的主板引導(dǎo)項(xiàng)��,正被看成是有近20多年歷史的BIOS 的繼任者,自Win8以來(lái)得到了微軟的力推。UEFI號(hào)稱(chēng)通過(guò)保護(hù)預(yù)啟動(dòng)或預(yù)引導(dǎo)進(jìn)程,可以抵御Bootkit攻擊,相比BIOS具有更高的安全性。
0x02技術(shù)分析
2.1 CSM模塊分析
木馬位于BIOS文件中 :
主板為ASUS 華碩的 B85M-G-ASUS-0904���。和正常的BIOS不同之處,在于木馬主板的CSMCORE模塊比正常的要大。應(yīng)該只能在LEGACY MODE下有效����,而通過(guò)UEFI啟動(dòng)的應(yīng)該無(wú)效���。(CSM(Compatibility support Module)表示兼容模塊�����,該選項(xiàng)專(zhuān)為兼容只能在legacy模式下工作的設(shè)備以及不支持或不能完全支持UEFI的操作系統(tǒng)而設(shè)置����。)
木馬在該BIOS模塊中,加入了自己的功能�,掛鉤系統(tǒng)了正常函數(shù)來(lái)執(zhí)行�。
正常的函數(shù)如下:
木馬掛鉤了該函數(shù)改為:
將原有函數(shù)的第一條指令改為CALL���,從而獲得執(zhí)行機(jī)會(huì):
之后其會(huì)判斷R9寄存器所指內(nèi)容是否為3���,可能是BIOS初始化成功的一個(gè)標(biāo)志����,然后搜索BIOS內(nèi)部特征碼CD 19 B8 00 80 CB 00
應(yīng)該是 BIOS內(nèi)部初始化后,調(diào)用中斷INT19H 實(shí)現(xiàn)加載硬盤(pán)第一個(gè)扇區(qū)MBR執(zhí)行的代碼���。然后修改0X413處的數(shù)據(jù),預(yù)留40KB空間����,用來(lái)存放木馬代碼����,并將BIOS內(nèi)的代碼拷貝到該預(yù)留空間�����。并將前面找到的BIOS內(nèi)部初始化后�����,調(diào)用中斷INT19H 實(shí)現(xiàn)加載硬盤(pán)第一個(gè)扇區(qū)MBR執(zhí)行的代碼,改為調(diào)用木馬自身的代碼����。
2.2 INT15掛鉤分析
然后,返回繼續(xù)執(zhí)行,當(dāng)執(zhí)行到BIOS初始化好,準(zhǔn)備加載磁盤(pán)MBR代碼的時(shí)候����,就會(huì)執(zhí)行木馬的代碼����。木馬這時(shí)候會(huì)掛接INT15H中斷�����,然后恢復(fù)執(zhí)行原來(lái)的代碼��,這樣就完成了掛鉤,后續(xù)就和暗云系列的MBR木馬相似,通過(guò)掛鉤INT15H來(lái)一步一步的掛鉤內(nèi)存,加載自身。
這樣��,當(dāng)系統(tǒng)MBR獲得執(zhí)行的時(shí)候,木馬已經(jīng)在內(nèi)存中掛好了INT15h的HOOK,之后��,會(huì)HOOK bootmgr!Archx86TransferTo64BitApplicationAsm獲得下次執(zhí)行機(jī)會(huì)����,然后再HOOK winload!OslArchTransferToKernel,,然后等內(nèi)核加載時(shí)候會(huì)HOOK ZwCreateSection��,從而切入到內(nèi)核運(yùn)行�����,然后會(huì)設(shè)置線(xiàn)程回調(diào)��。
2.3 線(xiàn)程回調(diào)掛鉤
接下來(lái)會(huì)設(shè)置線(xiàn)程回調(diào) PsSetCreateThreadNotifyRoutine
和進(jìn)程回調(diào)PsSetCreateProcessNotifyRoutine,進(jìn)程回調(diào)中只打印了下"Process %d Create %d\n"�����,線(xiàn)程回調(diào)才是關(guān)鍵內(nèi)容���。
線(xiàn)程回調(diào)中木馬判斷是否為csrss.exe進(jìn)程��,如果不是則跳過(guò),如果是就創(chuàng)建一個(gè)系統(tǒng)線(xiàn)程,
并且插入一個(gè)工作線(xiàn)程,將自身的線(xiàn)程回調(diào)抹去��。
2.4 內(nèi)核線(xiàn)程網(wǎng)絡(luò)下載代碼
在創(chuàng)建的系統(tǒng)線(xiàn)程內(nèi)會(huì)先等待1分鐘大概是為了等網(wǎng)絡(luò)準(zhǔn)備好��。
然后會(huì)嘗試使用兩種方式去下載惡意Code到內(nèi)核執(zhí)行���,
優(yōu)先嘗試UDP DownLoadShellCodeByUDP����,函數(shù)為解析 www.XXXX.top 域名�����。
使用0xDEDE43D0 0x8080808�,兩組DNS域名轉(zhuǎn)化過(guò)來(lái)��,即(222.222.67.208 8.8.8.8)
與www.XXXXtop 通信端口為0x801F即8064號(hào)端口�。
優(yōu)先使用0x3500即53號(hào)端口請(qǐng)求域名服務(wù)����,拿到 www.XXXX.top 域名對(duì)應(yīng)地址。
先請(qǐng)求服務(wù)器,詢(xún)問(wèn)Shellcode 長(zhǎng)度分片大小,然后一個(gè)一個(gè)分片處理����,最后拼接一起��。
發(fā)送數(shù)據(jù)包為,長(zhǎng)度為0x10��。
接受數(shù)據(jù)包為:
總長(zhǎng)度為0x28��,頭部長(zhǎng)度為0x10,數(shù)據(jù)部分長(zhǎng)度為0x18����,校驗(yàn)和為0xd845672a��。
Shellcode長(zhǎng)度為0x1a32d,總共有 0xd2個(gè)分片�,每個(gè)分片大小為 0x200�。
在使用UDP方式收發(fā)數(shù)據(jù)時(shí)候會(huì)對(duì)數(shù)據(jù)部分進(jìn)行校驗(yàn)��。
校驗(yàn)成功才拼接在一起�����,否則丟棄,然后再申請(qǐng)非分頁(yè)內(nèi)存�。
將之前的內(nèi)存代碼拷貝執(zhí)行�,將NT基地址作為參數(shù)傳入��。
2.5解密惡意代碼和投遞APC
下載下來(lái)的代碼僅頭部可以執(zhí)行���,后面部分為加密數(shù)據(jù)����,需要解密執(zhí)行。
調(diào)用函數(shù)為RtlDecompressBuffer�����,解密后大小為150728���,解密方式為
COMPRESSION_FORMAT_LZNT1�。
接著會(huì)調(diào)用填充導(dǎo)入表:
然后調(diào)用PsCreateSystemThread創(chuàng)建注入線(xiàn)程。
線(xiàn)程中:
優(yōu)先查找系統(tǒng)進(jìn)程注入找到的是spoolsv.exe。
然后再是殺軟進(jìn)程:
申請(qǐng)內(nèi)存拷貝注入:
插APC注入:
2.6 執(zhí)行用戶(hù)層惡意下載代碼
注入后從應(yīng)用層執(zhí)行�����,代碼中包含一個(gè)DLL文件�,執(zhí)行函數(shù)為申請(qǐng)內(nèi)存基地址����。
然后獲取Kernel32 模塊基地址,跟 LoadLibraryA GetProcAddress VirtualAlloc�����,
填充內(nèi)存中PE文件導(dǎo)入表����,填充完成后執(zhí)行DllMain函數(shù)。
會(huì)在DllMain中創(chuàng)建線(xiàn)程�,執(zhí)行下載并且運(yùn)行�,根據(jù)控制碼暫?���;蛘邉h除相關(guān)服務(wù)。
線(xiàn)程函數(shù):
提權(quán)操作解密下下載地址數(shù)據(jù)��。解密后內(nèi)容為:
根據(jù)控制碼暫?;蛘邉h除服務(wù):
然后分三種方式運(yùn)行: (DLL加載,父進(jìn)程注入��,直接創(chuàng)建EXE運(yùn)行)
2.7 創(chuàng)建惡意賬號(hào)
這里下載下來(lái)的是一個(gè)EXE����,主要功能就是創(chuàng)建了一個(gè)管理員賬號(hào)。
截圖:
0x03結(jié)束語(yǔ)
諜影木馬可寄生在包括UEFI主板在內(nèi)的多種版本BIOS里�����,非常精細(xì)地針對(duì)性感染BIOS引導(dǎo)模塊���,通殺Windows全平臺(tái)實(shí)施遠(yuǎn)程控制��,呈現(xiàn)出高危害、高復(fù)雜度和高技術(shù)水平的“三高”特點(diǎn)。
為了預(yù)防諜影木馬�����,360安全中心建議網(wǎng)友:盡量選擇官方渠道購(gòu)買(mǎi)電腦配件�,并開(kāi)啟安全軟件實(shí)時(shí)防護(hù)。如果遇到電腦開(kāi)機(jī)登陸界面緩慢、系統(tǒng)出現(xiàn)陌生賬號(hào)��、安全軟件反復(fù)報(bào)毒等可疑情況�,最好向安全廠(chǎng)商求助,以防木馬病毒對(duì)個(gè)人數(shù)據(jù)和財(cái)產(chǎn)造成損失。
