记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

木马盗用“风行播放器签名”流氓推广

2015-10-16 14:05

分享到:

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968ceeb39dc638dd1c24eb6002eba7cc345d0171c35bc8ae6fc2c608bdeac7a712c4c7.jpg

0x0 摘要

最近,360安全中心检测到,大量推广程序在推广一款带有有效风行签名——“Beijing Funshion Online Technologies Ltd.”的静默安装程序。后续分析发现,该程序静默安装,无法卸载,通过LSP注入系统各个联网进程执行。带有反虚拟机,反调试,抗分析,远程控制,远程执行的能力,是一款植入用户计算机的后门程序。


0x1 FunMini文件分析

基本信息:

MD5 : 64a34cc9a22fa93d0705920e4c3aed0c

文件名称 : FunMini.exe

文件类型 : PE,未加壳

签名信息 : Beijing Funshion Online Technologies Ltd.

签名正常 风行公司的推广程序

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bfe008dcac134564dd0262a88064cdea52eca4596cd971e664eeebff647cfb3e59.jpg

行为概述:

该样本运行之后,会对目标机器的环境进行检测:检测虚拟机,各种程序开发工具等。

如果不存在开发工具和虚拟机,就会下载一个后门dll程序加载执行,该dll还会进行手机app推广。

行为详解:

木马检查用户机器上是否存在IDA, vc6.0, windbg.exe等分析人员常用的分析工具。这类检测在木马程序中很常见,正常面向大众的软件,很少做这类检测。

http://pic1.hackdig.com/pp/7c360a5426b1886df0a9cfdd6f628283e0b046767e9478d3d5412c80d9b418922c88f84987e35a0cdf85903d9f1e719c.jpg

以下为木马检测的所有字符串的内存截图:

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc5460791b9c158ff5c0fcf850842f188f6ba1b4b17349b3f0fffdfc524f82b0cf340a6.jpg

检测通过之后,后门从服务器下载一个名为Foamii.dll的文件,而该文件才是一切行为的核心。


0x2 Foamii.dll文件分析

基本信息:

名称 : Foamii.dll

MD5 : a8367b1199422f103da439678a1a3683

文件类型 : win32 PE,DLL

签名信息 : Beijing Funshion Online Technologies Ltd.

签名正常

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517cc4ec0d3176174c3ef058159ff758351f054ce8801847f3ac94b09350bb70bbbc.jpg

行为详解:

木马首先调用WinExec函数启动rundll32.exe作为宿主进程,调用Foamii.dll的startup函数

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a03112e06838d9d271f71bc0051e358b4885b3c821c53202dd3853cac18ab065fcf.jpg

运行后,dll会从服务器读取在线shellcode代码到本地

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c71202f0fcf47364eb4a67cb1c4803d688cba5a6c5079862ffe9e7ec70c86daae.jpg

shellcode的远端地址竟然就堂而皇之的挂在风行官网上:

http://fld.funshion.com/instant/instant?bid=52

用浏览器打开该URL内容如下:

http://pic1.hackdig.com/pp/c3eab2e98ed566d0e41940afa978dad60633ab15c4b520786adaa09877ad73d351f5e81478fd21478395b44694d92445.jpg

数据报文如下图:

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8a8cc7f3d8598feb04465fa57f59489b9d1336b0792d91bb1bd25c3e165ffac289.jpg

而加载shellcode后,代码会向服务器发起访问,返回信息则是一个json串:

http://pic1.hackdig.com/pp/7c360a5426b1886df0a9cfdd6f62828310977a3e18b759b9d592a2984c5a21704fb53d573d4721a07280d4fc8727d998.jpg

显然,json串中又为shellcode指明了一个新的下载地址,下载回来的则是一个名为Foamii.zip的压缩文件

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8a24562555b0b57128a880bfc457a2a3d293de8956424f5796ae2c3b39a6a820aa.jpg

当Foamii.dll将Foamii.zip下载回来之后,将其解压,并进一步释放了一个名为FunNail.dll的程序

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf12be0f3a159f47725739f468c415df80dce1b2059d9791a724407a116ebcfe32.jpg


0x3 FunNail.dll文件分析

文件信息:

文件名称 : FunNail.dll

MD5 : 042ace2a209f537bb9402a563894cf9e

签名信息 : Beijing Funshion Online Technologies Ltd.

http://pic1.hackdig.com/pp/c3eab2e98ed566d0e41940afa978dad62af4bb85588ae8165ca730b45d4021af49f55bc475d66f37bba0ec91283e0002.jpg

行为概述:

该程序被运行后,首先会检测当前环境是否运行于虚拟机当中,同时删除PcHunter, smiff等常见分析工具。然后下载推广程序,进行推广。

行为详解:

木马调用IsProcessorFeaturePresent检测自身是否正处于调试环境中,由此判断自身是否正在被分析人员分析:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf95ff2bf570aac4859ac981df23a55b5daa601e38a6c743dfb971550f55cd0bdd.jpg

若并非处于调试环境中,则申请内存执行shellcode

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968cee383f641d0ea4ed6af9d37364a3b9433e89eb3fb443385dbfa090e9d89a7a7de0.jpg

之后,创建一个模态对话框,关键的工作函数就放在了窗体回调函数中:

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc546072c2ca1f9194a5db4ffe8afcb0a3c84756d1dc0cea08b7300f21de8ea98dd09dd.jpg

工作函数中,首先是检测虚拟机情况,看自己是否运行于虚拟机之中:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf8bb59d6c826fb991da9abde16fb43668bbd4f23a441bd4e80bd81243f659e465.jpg

而后,程序会对磁盘中的进行遍历

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968ceecbc401cab3867bf881afd9eec37393fd1085982fd80c1cfa3ee95c634b0bba18.jpg

遍历文件过程中,一旦发现检测分析工具则立即删除:

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc546072b22c196f27ba9b75163f93f3bc63146824e51a0c41df1e1983bf4e4fc4edb58.jpg

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968ceedfeaf0c74c319f916c5336d56a6f7256cec43729a5f77d3c05fa7d6701b470d4.jpg

删除PCHunter32.exe文件

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607dd11a028647530b84a251c30d3fbd2eacfaaaf22683654a7e4446db1d6e30f2a.jpg

删除smsniff.exe文件

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8a3f59bb4cafa79d588139d78ac4e697df15842e6be286f84acbe47e6029f8459b.jpg

另外,此处还有一个插曲:如果程序检测到当前正运行于Win7之后的系统,程序甚至还有专门用于绕过UAC防护的代码,考虑不可谓不周到。

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517ca65830e0ba1bbaca73967ed4ce58b238d89a951d177b1fb74c1ba0786367ee47.jpg

一切准备工作停当之后,便下载了一套安卓手机的连接组件回来:

http://pic1.hackdig.com/pp/4ae20cb14ac9d56f7929b4ff9e5d5272474bb5582cb0912d73b5f19ca6f88871e8187ef21c8aa4e96ec018d8610e6642.jpg

同时开启一个转么的线程,用来等待手机usb设备接入

一旦发现有安卓手机接入,则创建一个可读写的pipe管道,主要为adb fork-server 服务。

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bfa3e5789623ca2a497df7e87432e02ccbd3abce25fc211fb6f2e3b36b9ea2fd3b.jpg

而后利用adb命令在手机端创建一个 adb fork-server server进程 ,用于通过adb连接继而到电脑的手机。

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8a4a0879848540dc21fc1c89138086bad9eb863b2c30ddc5adc0f9e483a49931b0.jpg

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c58956b58c0fb21fd2707e16c0ef24452cbad3262555b7a5dae979ed32ead0e82.jpg

在手机中创建进程adb fork-server server成功之后,会读取手机端adb fork-server server的数据

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968ceec88d985c4d3192df9413543e554245c51b9fa98ae40b3c323185a6421d1832dd.jpg

并启动daemon 守护进程

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968ceeb275bccf4e38ca9c542d4685fe9ff2bf4141d474e17572ff7a72e14a285cb4b9.jpg

同时下载一个或几个APK文件到本地:

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c7a1d60e07a56f86de16bb45fcea15afa92c6ce7d0af1ed0f6528e840ccc82f53.jpg

现在要做的,就是找到SD卡或者手机内部存储的tmp路径,并将已经准备好的apk文件推送到手机当中:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bfa8a62de6ecb4e670b116274a4098085c1746b92b4c70f4db5da11f3dc1696d02.jpg

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607be644f4c152cbda8d9072a95d657543d922b7cfb56a8aca4732d163420adc888.jpg

最后,安装并启动安卓的daemon守护进程,拼接adb shell:install命令用来启动apk进行流氓推广

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a038e98265514bb87a13d96b8ec778c6268677d2fefb3a5e36932152f4c760f8099.jpg

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968cee528e626d6d6e58c22f533f30ba18ab631b36103700d8ad43ed2f1487efa4a13b.jpg

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8a300d0b5c8b5080749ea82b3a7c1b6ae0b8c2b3bbad0703d90e75aa228f7319de.jpg

以上这一切,用户是完全没有任何感知的,能感知到的唯有在手机上的这一次又一次的不期而遇而已……

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968ceeb6f69379d1ef79c96df9dc80083ff11d4c2cb0cadb71c35ef3c1e4a22c88e292.jpg


0x4 总结

360安全中心最早接到关于带有风行签名程序从PC端向安卓机强推安卓应用的问题,最早见于去年(2014年)12月中旬,当时就曾组织过技术力量对该族系推广进行过拦截。但在沉寂了9个多月之后,今年9月中旬,该族系又变换了更加犀利的反安全软件代码卷土重来。

目前360已对其推广做了拦截,并提醒用户及时清理,该后门安装量已经过数百万台,并且依然在不断的变种与我们进行对抗。

由衷希望厂商管理好自己产品,不要在这条路上越走越远才好。

本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。
本文地址:http://www.hackdig.com/10/hack-27417.htm

知识来源: bobao.360.cn/learning/detail/699.html

阅读:120152 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“木马盗用“风行播放器签名”流氓推广”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云