最新木馬攻擊剖析
根據騰訊電腦管家統計的數據顯示,自7月起,攔截到的挂馬網頁地址數量發生了急劇增長。通過進一步分析發現,這批木馬不僅可以在用戶電腦中安裝大量的推廣軟件,甚至還有可能進行盜號等惡意行爲,給用戶的電腦和帳號帶來風險。
使用浏覽器漏洞挂馬是目前互聯網上最常用的攻擊手段。它利用了IE等浏覽器在開發過程中遺留的一些缺陷,可以在用戶不知情的情況下運行攻擊者指定的惡意程序。由于去年4月微軟已經停止對Windows XP系統的維護,這就意味著微軟不會在再對後來的公開漏洞發布任何安全更新,所以一些已經公布的漏洞在XP系統中還將長期存在。正因爲如此,漏洞挂馬已經被很多黑色産業利用,用于在未打補丁的系統中自動執行惡意程序。通過梳理騰訊電腦管家近期對挂馬網頁的攔截數據,我們可以一窺黑色産業的內幕。
影響範圍
7月以來,使用漏洞進行挂馬的網頁呈現明顯的增長態勢,目前每日攔截的網址已經超過3000個。
從用戶分布地域上來看,受害用戶較多的地區爲廣東、山東、河南、河北、江蘇等省。
挂馬網站
大部分漏洞的利用原理是使用浏覽器腳本進行攻擊,所以攻擊者第一步需要在網頁裏埋伏下對應的攻擊腳本,然後等待用戶訪問網頁時觸發。
從網站類型上來看,攻擊者一般是自建一些導航類或色情類的網站,吸引用戶主動訪問。也有一些攻擊者會先購買大型網站上的廣告位,然後在用戶浏覽廣告的時候悄悄觸發。
取一天的數據,可以看到惡意網址在一天內被攔截的時間分布情況,從8點之後攔截挂馬網頁的數據持續穩定,在中午2點和半夜11點出現了兩個頂峰:
後門木馬
用戶訪問被挂馬的網站後,VB腳本會自動執行並且從指定的位置將惡意程序下載到用戶的電腦上運行。以其中數量最多的一個木馬爲例:
該木馬在網頁上的名稱叫做cale.exe(與系統程序calc.exe很相近),而下載之後保存到硬盤上的名稱叫做putty.exe(與知名的網絡連接工具名稱一致)。
該木馬首先會通過taskkill、VirtualFreeEx破壞進程、映像劫持等多種方式,結束電腦中的安全軟件。
接下來,木馬會釋放一個驅動,該驅動會恢複atapi的IdePortDispatchDeviceControl ,IdePortDispatch兩個ioctl dispatch,用于對抗網吧還原軟件。然後發送srb穿透還原軟件,把自身寫入磁盤,達到永久駐留的目的。
同時,木馬會訪問一個網絡地址,獲取接下來要下載的木馬文件,依次執行。使用網絡地址的目的在于,木馬作者可以隨時替換其中的內容,達到不同的控制目的,實際效果等同于一個簡單的後門。在分析木馬的時候,該地址返回的內容如下:
經分析,這些鏈接中的木馬會繼續進行盜號等進一步的惡意行爲。
盜號木馬
我們選擇前文鏈接中一個比較有特點的盜號木馬進行分析。
該木馬啓動以後,首先在windows目錄釋放一個可執行文件,名字爲隨機生成。
然後結束有關于QQ軟件的一切進程,迫使用戶重新啓動QQ。
接著該木馬進入一個無限循環,用于監控用戶重啓QQ的操作。循環中每隔100毫秒枚舉一次當前進程,如果發現了有QQ進程,表明用戶重新啓動了QQ,則立即結束掉真正的QQ進程,而啓動剛剛釋放的可執行文件進行代替。
這個可執行文件的作用就是使用一個僞裝的QQ登錄窗口,欺騙用戶在其中輸入QQ號和密碼。可以看到,這個登陸窗口確實做得很逼真,大量細節也很到位,跟真正的登錄窗口基本無法分辨,用戶很容易上當,以爲是真的QQ登錄窗口。
當用戶輸入了QQ號密碼點擊登陸以後,木馬會悄悄把內容記錄下來,以HTTP GET的方式,上傳到木馬作者的服務器上。如圖,假設輸入QQ號:111111111 密碼:22222222:
可以看出,Windows目錄下的這個可執行文件才是木馬最關鍵的惡意行爲的載體,之前的手段包括網頁挂馬、躲避殺軟,躲避還原軟件,駐留等等,都是爲了這個最終的木馬掃清障礙。可見現在木馬分工極其明確,各個模塊都有各自的職責。
* 作者/騰訊電腦管家(企業賬號),轉載來自FreeBuf黑客與極客(FreeBuf.COM)