360安全衛士 · 2015/11/08 14:04
以下是10月30日一天內大灰狼遠控的木馬樣本截圖,可以看到該木馬變種數量不少、偽裝形態更是花樣繁多。
由於木馬樣本數量比較多,我們不一一枚舉,以下提供幾例來說明:
本文用到的惡意**md5:
0b1b9590ebde0aeddefadf2af8edf787
0ea5d0d826854cdbf955da3311ed6934
19c343f667a9b958f5c31c7112b2dd1b
d16e6ef8f110196e3789cce1b3074663
複製**
大灰狼遠控由於長期的被防毒追殺,所以大量的使用動態呼叫系統api,來躲避查殺,所有的檔案相關操作都採用了動態呼叫的方式。
幾乎所有的樣本都需要動態的解碼才能獲取到相關的函式呼叫。
在ida裡,我們可以看到木馬使用的手段:
木馬程式為了方便遠端的檔案更新,會把惡意**放在遠端的乙個伺服器中,而且會對這個檔案進行加密,需要在本地解密,然後裝載到記憶體中,在本地檔案中無法得到解密後的檔案,只有乙個被加密的殘留檔案:
為了增加分析的難度,記憶體中抓取的檔案也是被加密的,這個檔案是程式執行的主要部分,為此我們還要繼續解密。
經過繼續的解密和分析,最終的解密檔案的內部函式呼叫是這樣的:
也有的是這樣的:
這些呼叫顯然與普通程式不同,這是一種通過大量增加類似sleep和rectangle等跟木馬功能完全無關的api呼叫,來實現干擾防毒查殺的手段。
同時還會木馬程式還會遍歷檢測各個防毒軟體。
為了躲避殺軟的追殺,還採用了網域名稱、網盤空間上線等上線方式:
通過以上的木馬樣本分析,我們可以看到,大灰狼遠控具有比較豐富的免殺和對抗經驗,那麼木馬作者究竟是什麼人呢?接下來,我們需要按圖索驥去追查這個木馬的**和幕後情況。
通過網域名稱查詢我們定位到了牧馬人:
通過搜尋引擎還發現了非常關鍵的資訊:乙個專門銷售大灰狼木馬的**:
我們按照帖子的提示找到了該**:
這個**的客服居然就是網域名稱的所有者,顯然這個qq就是牧馬人了。
顯然這個網域名稱和備案資訊是不一致的。那麼這個備案資訊對應的究竟是哪個網域名稱呢?
由於牧馬人採用不同的等級銷售方式,我們有理由確認這是乙個資深的黑產「從業者」:
由於該牧馬人有所戒備,難以通過qq聊天套出更多資訊。不過從他炫耀的後台管理來看,與我們監控的木馬傳播狀況是大體一致的,由此也佐證了這位木馬販子就是大灰狼遠控的幕後**。
防範大灰狼一類遠控木馬的幾個小建議:
及時打補丁。
xp使用者一定要開啟安全軟體防護。
執行未知程式之前檢查檔案是否有正規的數字簽名。
大灰狼的故事 忠貞的大灰狼
大灰狼的太太不小心掉進了的獵人的陷阱裡了,大灰狼想盡辦法也沒把它的太太從陷阱里弄出來,它只好無助地向天大聲嚎叫。此後,大灰狼除了每天給它的太太弄吃的外,每天守候在陷阱旁等著奇蹟發生。這天獵人來了,大灰狼不但沒有趕緊離開,而是衝著獵人嗷嗷直叫。獵人感覺很奇怪,拿著槍,慢慢走到陷阱口,往下一望,原來陷阱...
使用Shellter生成遠控木馬並進行持久化控制
由於我這裡安裝的是最新版本的kali,沒有辦法直接在kali中開啟shellter.exe,即使是安裝了wine32後還是無法開啟 所以我這裡就在windows中演示 shellter的使用 1.在windows中開啟shellter.exe這裡選擇a代表的是自動模式,回車。ps 這裡要注意的是,進...
如何玩轉andriod遠控(androrat)
清風 2013 09 09 13 47 關於webview中介面隱患與手機掛馬利用的引深 看我是怎樣改造android遠端控制工具androrat 1.修改布局介面 2.配置預設遠端ip和埠 3.launcheractivity修改為執行後自動開啟服務並自動返回到主介面 4.修改xml讓程式不顯示在...