火球(Fireball)病毒,是老外如临大敌,还是360指鹿为马?

华盟原创文章投稿奖励计划

2017年6月1日,国外著名的安全厂商Checkpoint发布报告称一个来自中国的恶意软件火球(Fireball)在全球范围内感染了多大2亿5千万台电脑。但仅仅两天之后,国内著名的安全厂商360就发布了另一篇报告“Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌”,称Fireball仅仅是一个很厚道的“流氓软件”。

http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/

两家著名的安全厂商对“相同的”病毒发布了完全不同的信息,让作为一个信息安全爱好者的我不知所措,到底该相信谁呢?! 这时候我想起了名侦探柯南中的那句台词“真相永远只有一个!”,因此决定亲自来分析下这个病毒。

在Checkpoint的分析报告中共列出了以下8个样本哈希,我们首先尝试从VT中获取这些样本的信息。

fab40a7bde5250a6bc8644f4d6b9c28f

69ffdf99149d19be7dc1c52f33aaa651

b56d1d35d46630335e03af9add84b488

8c61a6937963507dc87d8bf00385c0bc

7adb7f56e81456f3b421c01ab19b1900

84dcb96bdd84389d4449f13eac750986

2b307e28ce531157611825eb0854c15f

7b2868faa915a7fc6e2d7cc5a965b1e7

列表1. Checkpoint分析报告中给出的样本哈希

VirusTotal上的样本信息

图1. VirusTotal上的样本信息

从图1可以看到,样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,因此极有可能是火球(Fireball)病毒的原始安装程序(或者说母体)。对该样本进一步进行信息检索后在文件关系(File Relationship)面板中发现它曾经出现在被提交到VT上的几个压缩文件之内。

VirusTotal上的文件关系信息

图2.VirusTotal上的文件关系信息

4206664073b85f5c7a1fb82e3b8e8d3598ef96226a46899fbeaae6a7d7be2457

bc47fe30ba4bf86101b112ce1c5f811994e75353ad9e4d421e60582abdda1254

cd2bdbdfc57e57140412ba57be83da3ff8856107d8ac288ae18df77e2f2f05be

ef1743e67b8c323f2e3e58499cfd699099885fa5ad5d8601cfe0a126be4df556

列表2. 我们从VT上找到的包含文件84dcb96bdd84389d4449f13eac750986的样本列表

在列表2中,除了最后一个文件是真正的压缩文件以外,前三个文件都是DLL并且具有相似的文件结构(有且只有一个名为“hkfnrf”的导出函数,在附加数据中存在7Z格式的压缩数据)。

附加数据中的7Z格式的压缩数据

图3. 附加数据中的7Z格式的压缩数据

直接使用7-ZIP对DLL文件进行解压缩,发现里面有如图4所示的文件集合。

从DLL文件中解压缩出来的文件集合

图4. 从DLL文件中解压缩出来的文件集合

用十六进制编辑器对这些文件进行查看之后,发现amule_cf这个文件很有意思,其内容如下。

{

"list":

[

{

"app_type": 1,

"app_name": "ClearLog.dll",

"app_cmd": "StartClear"

},

{

"app_type" : 1,

"app_name": "Lancer.dll",

"app_cmd": "Start"

},

{

"app_type": 0,

"app_name": "yacqq.exe",

"app_cmd": ""

},

{

"app_type": 0,

"app_name": "BaofengUpdate_U.exe",

"app_cmd": "-r"

},

{

"app_type": 0,

"app_name": "QQBrowser.exe",

"app_cmd": "-sileninstal2016"

},

{

"app_type": 0,

"app_name": "regkey.exe",

"app_cmd": ""

},

{

"app_type": 0,

"app_name": "de_svr.exe",

"app_cmd": ""

}

]

}

该DLL文件的导出函数“hkfnrf”的代码显示(图5)它会读取并解析配置文件amule_cf的内容并执行相应的程序。同时会访问命令控制服务器的地址http://dmv9o2kt858uv.cloudfront.net/v4/service/%s?action=visit.amuleupdate.%s汇报执行状况。

DLL的导出函数“hkfnrf”的部分代码

图5. DLL的导出函数“hkfnrf”的部分代码

对DLL文件中包含的文件集合做了简要分析,具体信息参见表格1、图6、图7、和图8。

MD5 文件名 文件属性
3944f7dff0914c31f26099deb482b67c amule_cf 数据文件(配置文件)
95b14c3c23e1cb7793a906675ff4f7e2 BaofengUpdate_U.exe 安全文件(暴风影音)
8c61a6937963507dc87d8bf00385c0bc ClearLog.dll 恶意文件(清除杀软检测记录的模块)
84dcb96bdd84389d4449f13eac750986 de_svr.exe 恶意文件
2579df066d38a15be8142954a2633e7f hhhhh.exe 安全文件(SystemInternals工具集中的Handle Viewer)
2b307e28ce531157611825eb0854c15f Lancer.dll 恶意文件(它会从lanceruse.dat中解密出杀软对抗模块并运行)
d5b4e907615a315fe610ba3fe18d15f0 lanceruse.dat 数据文件(解密后的数据包含火球病毒的杀软对抗模块和PC Hunter)
2eee15b1927eadff45013e94b0cb0d94 QQBrowser.exe 安全文件(QQ浏览器)
61af79ff97cbe061a3e55be2ea3a7369 QQBrowserFrame.dll 恶意文件(该文件利用QQBrowser.exe来加载自身—即所谓的“白加黑”技术,解密并执行数据文件tmaker中的恶意代码)
7adb7f56e81456f3b421c01ab19b1900 regkey.exe 恶意文件
4abe1a0120b222ddc59dc702d2664e52 tmaker 数据文件(包含加密的恶意代码)
66e4d7c44d23abf72069e745e6b617ed ttttt.exe 安全文件(Windows系统文件tracelog.exe)
97d5b2bd066ff1bc54cc012c2088416d Update.dll 恶意文件
ca2a6c3b5478e72ce564fbb77b8224e0 yacqq.exe 恶意文件

表格1. DLL文件中所包含的文件集合信息

从数据文件lanceruse.dat中解密出来的杀软对抗模块Micr.DLL

图6. 从数据文件lanceruse.dat中解密出来的杀软对抗模块Micr.DLL

杀软检测记录清除模块ClearLog.dll

图7. 杀软检测记录清除模块ClearLog.dll

从数据文件tmaker中解密出来的恶意模块

图8.从数据文件tmaker中解密出来的恶意模块

至此,真相已经大白。火球(Fireball)不仅使用了病毒常用的“白加黑”(即利用安全EXE文件加载自己的动态链接库并解密执行恶意代码)技术,而且还利用著名的PC Hunter与杀毒软件进行对抗,并且拥有杀软检测记录的清除模块,是一个纯粹的恶意软件。

那么360为什么说火球(Fireball)是一个“有良心的流氓软件”?由于360的分析报告中没有给出任何文件哈希,只能推测他们分析了通过火球病毒传播的一个“流氓软件”,而不是火球(Fireball)病毒本身,真是指鹿为马啊!

火球(Fireball)病毒来自哪里?

在图8的Ollydbg截图中,有一个叫“firefox1.com”的域名,起初我以为它是火狐浏览器官方的域名之一,然而这个域名的WHOIS信息否定了我的判断。

“firefox1.com”的WHOIS信息

图9.“firefox1.com”的WHOIS信息

通过搜索“baoyu430”,我找到了下面这个GitHub页面。

“baoyu430”的GitHub页面

图10. “baoyu430”的GitHub页面

Elex?一个似曾相识的名字,百度搜索发现这是一家叫“智明星通”的公司。Checkpoint在报告中指出火球(Fireball)病毒来源于一家叫Rafotech(卿烨科技)的中国公司,那么Elex(智明星通)和Rafotech(卿烨科技)之间是否存在某种直接或者间接的关系呢?由于Rafotech 的官方网站已经下线,我们不得而知,然而搜索引擎似乎向大家透露着什么。

同一个HR为两家公司招聘?

图11. 同一个HR为两家公司招聘???

一份“北京智明星通科技股份有限公司的公开转让说明书(申报稿)”

图12. 一份“北京智明星通科技股份有限公司的公开转让说明书(申报稿)”披露该公司老板对Rafotech(卿烨科技)进行了间接投资

写在最后:

如果有其他信息安全爱好者也对这个样本感兴趣但又没有订阅VirusTotal的服务,可以尝试在自己公司的样本库中搜索带有文中提到的导出函数”hkfnrf”的DLL(动态连接库)。

* 本文作者:人若无名,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文原创,作者:小龙,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/157181.html

发表评论