360安全衛士
360殺毒
360文檔衛士
360安全浏覽器
360極速浏覽器
360安全雲盤
360隨身WiFi
360搜索
系統急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅動大師
魯大師
360換機助手
360清理大師Win10
360遊戲大厅
360軟件管家
360手機衛士
360防騷擾大師
360加固保
360貸款神器
360手機浏覽器
360安全雲盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機雲台AI版
360攝像機小水滴AI版
360攝像機雲台變焦版
360可視門鈴
360攝像機雲台1080p
家庭防火牆V5S增強版
家庭防火牆5Pro
家庭防火牆5SV2
家庭防火牆路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛士
360殺毒
360文檔衛士
360安全浏覽器
360極速浏覽器
360隨身WiFi
360搜索
系統急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅動大師
魯大師
360遊戲大厅
360軟件管家
360手機衛士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛士
清理大師
省電王
360商城
流量衛士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大衆版
360安全路由器P3
360安全路由器P2
360兒童机器人
外設産品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王领航版
標准升級版
後視鏡版
車載電器
Win 10 蓝屏与流氓捆绑罪魁祸首:小易木馬
- 2021-03-04 15:15:36
一、概述
近期,360安全大腦監測到一類導致藍屏的驅動木馬現身網絡,該木馬以不正規網站的免費軟件下載器作为载体,诱导用戶下载安装后入侵用戶电脑,篡改浏览器首頁,捆绑安装流氓软件,窃取用戶机器信息,並導致win10機器觸發“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。
鑒于此類下載器會同時捆綁安裝“小易記事本”等流氓軟件,並在驅動木馬中操作小易記事本相關注冊表(Enotepad),故將其命名爲“小易木馬”。
360安全衛士可即时对“小易木馬”进行拦截和查杀。
二、驅動木馬功能分析
1.首頁篡改与Win?10 藍屏觸發
此類下載器會釋放安裝惡意驅動,該驅動木馬早期版本篡改浏览器首頁为hxxps://www.2345.com/?39403等地址。
同時,該惡意驅動還會導致win10系統觸發“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木馬加载运行后在内存中暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本還有一個模塊加載回調LoadImage)駐留在內存中,這兩點都會觸發win10 PatchGuard内核保护机制导致蓝屏。
木馬回調觸發PatchGuard内核保护引起蓝屏
2.暴力斷鏈隱藏模塊
该驅動木馬通过操作内核模块ldr双向链表,将自己的驱动模块从双向链表中移除,并将自身驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。
3.劫持文件系統隱藏文件
该驅動木馬通过劫持文件系统,来过滤文件请求操作,从而达到隐藏自己驱动文件的目的。
木馬會對IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION這三種類型的IRP進行過濾;
其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防刪除保護,處理IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程負責文件隱藏保護。
例如對于IRP_MJ_CREATE類型IRP的处理中,会判断文件操作的目标是否命中驅動木馬文件,如果命中则返回STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示:
4.注冊回調挂鈎函數保護注冊表
木馬的注冊表回調用于保護其驅動對應注冊表不被刪改,對于低版本的系統,木馬還會挂鈎系統GetCellRoutine函數來保護自身注冊表。
其注冊表回調的過濾方式是:如果打開和枚舉操作的線程不是木馬自己的線程,並且目標注冊表鍵,命中木馬自己自身注冊表鍵,則拒絕訪問。
並且對于win7及其之前的系統,則以硬編碼方式獲取GetCellRoutine函數地址,並挂鈎該函數,以保護自己的注冊表。
在挂鈎函數中,木馬判斷如果注冊表的操作線程不是木馬自己的線程,則進行過濾操作:木馬判斷操作的目標注冊表節點是否命中自己的注冊表節點,如果命中的話,則返回空數據以隱藏自己。
同時,木馬在注冊表回調中判斷自己的GetCellRoutine函數鈎子是否被移除,如果被移除的話,則再次進行挂鈎。
5.內核dll注入explorer
在该木馬的旧期版本中,还有通过模块加载回调patch ZwTestAlert系统函數,将木馬DLL注入到explorer進程的功能。
其详细过程为:木馬通过LoadImage模塊加載回調,過濾explorer進程對ntdll模塊的加載,挂鈎ntdll加載過程中調用到的ZwTestAlert函數,即patch?ZwTestAlert函數的前5个字节,从而跳转到explorer进程空间内木馬写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木馬dll,以完成對explorer進程的dll注入。
模塊加載回調中判斷explorer進程加載ntdll模塊:
獲取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函數地址,分別用于:修改explorer進程內存屬性寫入shellcode;shellcode中通過LdrLoadDll函數地址加载木馬dll;挂鈎ZwTestAlert函數patch前5字節構建相對跳轉指令作爲跳板,調用到shellcode.
6.受害者信息回傳與後門常駐
该木馬驱动加载后,会向木馬C&C服务器回传统计受害者用戶基本信息,并以此驱動作为入侵受害者机器的基石,进一步榨取受害者机器剩余价值,例如可能通过木馬服务器,进一步捆绑安装狗皮膏药类的流氓软件等。
三、安全建議
打著“免费”激活,“免费”软件等的旗号,行病毒木馬,流氓软件之事的案例屡见不鲜。360安全衛士可对此类木馬进行拦截和查杀,推荐广大用戶通过360軟件管家下载安装正规软件。
希望广大用戶不要抱有侥幸等心理,无视360安全衛士的网址拦截与木馬运行拦截预警,开启360安全衛士的常驻保护,警惕360安全衛士拦截的危险行为。已中毒用戶亦可下载安装360安全衛士以及360系統急救箱进行木馬查杀。(,http://weishi.360.cn/jijiuxiang/index.html)
京公网安备 11000002000006号