Free Star木马分析与追溯

华盟原创文章投稿奖励计划

       Free Star木马分析与追溯

  近期我们看到了一些较新版本的大灰狼木马采用了一种新的上线方式,与利用QQ空间、微博、博客或者网盘等方式上线相似,其通过调用QQ一个获取用户昵称的接口来获取上线地址,又一种通过正常通信渠道进行非正常通信的企图。

  Free

  Free

  当一个方法被证明有效,很容易就会被其他造马者“借鉴”。通过基于360威胁情报中心数据的关联性分析,我们发现了一个名为Free Star的木马也采用了这种上线方式,该木马最早出现于2015年2月左右,作者从2015年5月开始在各个免杀论坛售卖源码,而新版本活动时间就在2016年1月份至今。其部分代码结构和Gh0st、大灰狼的代码比较相似,可以认为是那些远控的衍生版本。

  下图为从某免杀论坛下载到的Free Star木马控制端,可以看见配置Server端中需要将IP地址加密后设置成QQ昵称,然后由服务端通过访问对应的接口来获取QQ昵称,进而解密出木马上线的IP地址:

  Free

  访问的接口如下:

  Free

  今天我们要分析的对象就是这个名为Free Star的木马,这个也是360天眼实验室新晋小伙伴的处女作。

  样本分析

  样本信息基本识别信息如下,供同行们参考。

  木马文件MD5: c3d7807f88afe320516f80f0d33dc4f3、a1bb8f7ca30c4c33aecb48cc04c8a81f

  分析得到木马主要行为总结:

  添加服务项,开启服务,转移自身文件

  用gethostbyname函数获取上线地址或访问QQ昵称接口获取木马上线地址,并进行网络连接

  检测杀软进程

  开启线程接收指令,执行远控功能

  添加服务项,开启服务,转移自身

  文件木马首先判断是否已经注册了服务项,如果没有注册,进入自拷贝、创建服务的流程:

  Free

  创建服务

  Free

  Free

  调用StartServiceA开启服务,进入主功能流程

  Free

  再拷贝自身,移动到%appdata%中指定目录

  Free

  创建自删除脚本并执行,用于删除自身文件以隐藏自身

  

Free

  Free

  脚本内容如下:

  Free

  获取上线地址

  以服务项启动进入时,通过注册表对应的项判断服务是否存在,决定是否进入开始进行网络连接。

  Free

  解密动态域名、QQ号、端口号:

  解密算法是Base64解码后,异或0×88 ,加0×78,再异或0×20

  Free

  获取IP地址

  Free

  Free

  如果第一种方式不成功,则通过访问QQ昵称接口获取IP地址:

  Free

     Free

  获取到的QQ昵称为: deacjaikaldSS

  

     Free

  对获取到的QQ昵称解密:解密算法是 + 0xCD

  Free

  解密后取得IP地址为: 1.207.68.91 ,开始连接:

  Free

  循环连接这两个地址直到连接成功,连接成功后进入远控流程

  获取受害者系统信息

  首先获取主机名

  Free

  获取CPU型号

  Free

  获取其他信息等等

  Free

  遍历进程,查找杀软进程

  Free

  检查杀软的进程名用一个双字数组来存储,每个双字的值是指向对应杀软进程名的字符串的指针。如下:

  Free

  Free

  创建新线程,用于循环等待接收远控指令

  Free

  最后创建一个新的线程,用于接收远控指令,主要的功能有远程文件管理、远程Shell、屏幕监控、键盘记录等等,这里就不再赘述了。代码整体流程图如下:

  Free

  幕后黑手

  这种通过QQ昵称获取上线地址的方式在躲避检测的同时也暴露了放马者的QQ号,我们在通过样本拿到的QQ号中找到了一个比较特殊的:550067654

  Free

  通过搜索引擎,我们发现这个QQ号有可能是木马作者的一个业务QQ号,这个QQ在多个免杀论坛上注册了账号,经过进一步的确认,发现其的确是木马作者:

  Free

  Free

  Free

  从作者在某论坛上展示的木马功能截图可以发现,其曾经在贵州毕节地区活动。

  Free

  Free

  我们还发现作者用QQ邮箱账号注册了支付宝账号,通过支付宝账号的信息,发现作者的名字可能是: *怡

  Free

  通过某社工库,我们找到了作者经常使用的qq邮箱和密码,通过这条线索,我们找到了更多的信息:

  Free

  在某商城发现了几笔订单信息,从而取到作者的名字、常在地区:

  Free

  Free

  Free

  Free

  从身份证信息来看,确定作者是贵州毕节地区的人,名字就叫田怡。这也与上面获得的信息一致。

  关于木马作者的追踪到此就告一段落了,有兴趣的同学们可以继续深挖,用一张天眼威胁情报中心数据关联系统生成的关系图来结束此次挖人之旅。

  Free

  传播途径

  分析完样本和木马作者之后,我们再看看该类木马的传播途径。

  在我们捕获到的众多样本中,有一个样本访问的地址引起了我们的注意,通过关联,发现这是一些挂机、点击软件访问的地址,http://sos.hk1433.cc:10089/bbs.html

  Free

  打开网页后,查看源代码,如下:

  Free

  可以看到,这个页面加载了一个swf文件。将这个swf文件下载后打开,发现是Hacking Team的flash漏洞利用,下图红色框出的部分就是ShellCode:

  Free

  ShellCode的功能就是一个Dropper,会将之前解密出来的PE释放并执行,而这个PE文件正是Free Star木马。解密前的PE文件:

  Free

  解密后:

  Free

  ShellCode:

  Free

  由此我们可以知道,该木马的传播方式之一即是通过网页挂马。通过上图可以看到挂马页面在3月28日上午9点上传,截至我们写这份报告的时间,3月29下午16点,点击量已经有13000多,而这仅仅只是冰山一角,但是在这里就不再深入。在我们的360威胁情报中心可以很容易地通过关联域名查询到对应的样本:

  Free

  总结

  通过这次分析,我们发现这个木马本身所用到的技术相当普通,与之前发现的木马基本一脉相承,体现出迭代化的演进。由于巨大的利益驱动,黑产始终保有对技术和机会的高度敏感,就象任何先进的技术首先会被用于发展武器一样,成熟可靠的漏洞利用技术及躲避检测的方案几乎肯定会立刻被黑产所使用传播。

华盟知识星球入口

原文地址:https://hack.77169.com/201604/225749.shtm

本文原创,作者:华盟君,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/17129.html

发表评论