悠梦枫林交流论坛[BBs.YlmFFans.CoM]-真正属于菜鸟的网络天堂!

 找回密码
 立即加入
查看: 3350|回复: 0

[心得交流] 你装的系统有毒——“苏拉克”木马详细分析

[复制链接]
  • TA的每日心情
    奋斗
    2024-3-2 17:33
  • 签到天数: 1704 天

    [LV.Master]独孤求败

    发表于 2016-4-11 15:04:00 | 显示全部楼层 |阅读模式
    0x00 引言
    “苏拉克”木马是2015下半年来持续爆发的木马,该木马感染了大量的计算机,其主要传播释放是直接在ghost镜像中植入木马,然后将ghost镜像上传到大量网站提供给用户下载,此外,近期也发现该木马的win8、win10版本通过oem激活工具植入用户电脑中。由于该木马的主要模块名为“surak.sys”,且通过分析得知该木马的项目名称即为“surak”,因此将其取名“苏拉克”木马。

    0x01 “苏拉克”木马简介
    “苏拉克”木马是2015下半年来持续爆发的木马,该木马感染了大量的计算机,其主要传播释放是直接在ghost镜像中植入木马,然后将ghost镜像上传到大量网站提供给用户下载,此外,近期也发现该木马的win8、win10版本通过oem激活工具植入用户电脑中。由于该木马的主要模块名为“surak.sys”,且通过分析得知该木马的项目名称即为“surak”,因此将其取名“苏拉克”木马。
    0x02 “苏拉克”木马特点
    • 传播渠道隐蔽,由于该木马被直接植入到ghost镜像中,用户一安装系统就自带该木马,而此时尚未安装任何安全软件,因此木马的传播过程完全不在监控中。
    • 影响用户多,由于大量网站传播该类ghost镜像,且此类网站投入了大量推广费进行推广,普通用户通过搜索引擎找到的镜像下载站几乎全是带木马的。此类镜像涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“番茄花园”等主流ghost。
    • 难以清除,由于木马进入系统时间比安全软件早,掌握了主动权,对其后安装的安全软件做了大量的功能限制,使其大量功能无法正常使用,如安全防护无法开启、信任列表被恶意操作等,导致难以检测和清除木马。
    • 对用户电脑安全威胁大,“苏拉克”木马除了锁定浏览器主页获利外,还会实时连接云端获取指令,能够下载其它木马到本地执行,给系统安全造成了极大的威胁。此外,针对64位系统,该木马还会修改系统内核文件,使得64位系统自带的驱动签名校验、内核防钩子等安全机制全部失效。
    “苏拉克”木马的功能主要分为4大模块,即内核Rootkit模块、应用层主体模块、应用层加载器模块、应用层上报模块。模块分工明确,可扩充性强,配置灵活,且所有的通讯都使用高强度加密算法加密(AES & RSA),该木马有xp版、win7版、win8版、win10版,除xp版外其它版本又分为32位版本和64位版本,每个版本功能基本一致,以下以xp版本为例进行分析,其它版本行为类似。
    1、启动模块行为(MD5:a3c79b97bdea22acadf951e0d1b06dbf)
    图3
    Boot.exe文件是该木马的主体模块,主要负责定时从云端下载最新的配置信息及负责其它模块的调度、插件下载、数据传递等。
    • 运行后首先从云端下载http://xp.xitongzhu.com/2.0xpFileList.dl文件,该文件使用AES加密,密钥为“DownloadKey”,顾名思义该配置文件与下载相关,解密后的该文件如图5所示,主要包含要下载的文件列表、文件类型、本地存储路径等。


    • 图5.解密后的2.0xpFileList.dl
    • 图6
    • 图7. 存储插件列表
    • 图8. 下载配置文件并比较MD5
    • 图9. 配置信息数据结构
    • 图10. 注册表相关的配置信息

      图12. 进程隐藏相关配置信息




        图13. 阻止驱动加载的相关配置信息解密完配置文件后,依次将其加密后传递给内核surak.sys完成相应功能。
      • 解密完配置文件后,依次将其加密后传递给内核surak.sys完成相应功能。

        图14. 将配置信息传递给surak.sys


      3、Rootkit模块行为(MD5:8bb5cdc10c017d0c22348d2ada0ec1dc)
      • 挂钩NtQuerySystemInformation函数,对应隐藏进程功能。在win7等64位系统中,由于“苏拉克”木马patch了系统的内核文件,因此挂钩此函数也不会引起蓝屏。

        图15

      • 注册LoadImage回调,通过此回调函数,拦截指定sys文件加载,其拦截方式直接将DriverEntry初代码改成返回指令。

        图16

      • 注册CmpCallback回调,对应注册表隐藏功能。

        图17

      • 挂钩IofCallDriver、IoCreateFileSpecifyDeviceObjectHint,对应文件隐藏功能







        图18

      图19. 在x64版本的系统中,为了能够Hook内核,系统的内核文件被篡



    4、上报模块行为(MD5:595738d7ca9291a3d3322039bb4dc960)
    图20
    5、木马其它模块(插件)行为
    • subooa.sys、suboob.sys、subooc.sys(MD5:e94faf79a7681b33b903cceb1580d7c4)这三个驱动文件都会被加载到内核中,但只是一个空的工程,未见恶意代码。

    0x04 传播渠道探索
    图21. 伪装成系统之家的带毒ghost下载站

    图23. 通过论坛发帖推广带毒ghost系统

    0x05 结语

    目前已经发现通过各种渠道推广的带毒ghost镜像下载站列表,目前管家已拦截相关网站,大家下载相关文件时注意避开这些网站。




    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有账号?立即加入

    x
    悠梦枫林 众木成林
    做人要厚道 看贴要顶贴!
    您需要登录后才可以回帖 登录 | 立即加入

    本版积分规则

    手机版|小黑屋|悠梦枫林技术论坛 版权所有 | |

    GMT+8, 2026-7-16 05:22 , Processed in 0.055454 second(s), 28 queries .

    Powered by Discuz! X3.4

    © 2001-2013 Comsenz Inc.|Style by Coxxs

    快速回复 返回顶部 返回列表