-
-
[原创]global蠕虫
-
发表于: 2016-6-14 10:03
-
很久没冒泡了,发点东西,证明自己还活好着呢
给个样本练练手 Global.rar
1 基本描述
样本是介于 蠕虫与后门之间,因为样本具备有蠕虫的系统感染性与后门的隐藏性,反取证等特性。经样本分析及自动化运行监控得知,样本并没有直接或间接向远程IP建立通讯链接,实现远程控制。因为样本并不对系统存在高级别威胁,因此并不被众安全厂商给予足够的重视,但是个人认为它对寄生系统同样存在严重的威胁以及影响系统性能,并且样本长期高权限存活在寄生系统底层,相当于长期抱着一个危险品,说不定那天就爆发威胁。从另一个角度上说这个样本是从某客户现场取证出来的样本,因此可以确定此样本已经投放于互联网中。
样本MD5:658a692bb82cb1e053904a5e1ec7766a
2 功能描述
此蠕虫样本主要实现有4大功能特性。
2.1 样本实现样本多处备份,然后再通过子样本备份多其他目录中,实现交叉式系统样本备份感染;
2.2 创建注册表自启动项,将多个备份样本实现自启动;
2.3 设置文件属性,所有备份的直属目录设置为系统隐藏属性,直属样本设置为系统隐藏、只读属性有效防止样本被提取,并将样本图标设置为文件夹路标,诱使用户误认为是文件夹双击运行样本;
2.4 操作注册表实现反取证工具运行。通过样本的3大特性以及多个副本同时运行。使得在副本进程没有全部结束下,样本实现难以在系统清除样本。
二、样本功能分析
3 功能解析
此样本使用的方法技术量比一般的木马要高得多。
1 样本全程使用shellcode,而且样本还加了反静态,一般静态无法分析,也不合算静态分析,个人习惯直接使用动态调试,对关键API下断点。
2 样本进程运行具有比较高的权限,在设置备份文件及文件直系父目录为系统级隐藏属性,所以在取证是,使用一般的ring3层取证工具是无法检测到相关样本及目录的存在。
3 样本具有一定的反取证功能,对常见的取证工具(autorun.exe、auto.exe、boot.exe、ctfmon.exe、msconfig.exe、procexp.exe、taskmgr.exe)进行反取证,方法也比较新颖。
3.1 样本多备份。样本在实现备份后,便操作注册表为备份样本添加自启动项,启动备份样本进程,便开始结束自身进程并进行自删除
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"
且同时运行,实现同一个功能,因此手工查杀,理论上根本不可能实现系统清除病毒。因为每个样本都在尝试相互备份彼此,启动彼此,所以一般只能通过杀毒软件自动化查杀,或者重装系统(样本只在系统盘进行备份,没有殃及其他磁盘)。
再通过"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"副本,在多个系统文件目录中备份。例如:
"C:\WINDOWS\system32\dllcache\svchost.exe"
"C:\WINDOWS\system32\dllcache\Default.exe"
"C:\WINDOWS\system32\regedit.exe"
"C:\WINDOWS\system\KEYBOARD.exe"
"C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
"C:\WINDOWS\Help\microsoft.hlp"
"C:\WINDOWS\Fonts\tskmgr.exe"
"C:\WINDOWS\Media\rndll32.pif"
"C:\MS-DOS.com"
同样对上面Global.exe备份的样子样本设置为系统级别隐藏属性(在取证的时候一开始也感到困惑,为何在设置显示系统隐藏后瞬间,备份的子样本消失,系统查看设置也恢复默认)。
操作注册表设置隐藏属性的文件及目录。
操作注册表项:
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ValueName"
设置隐藏文件及目录:
"C:\WINDOWS\system32\dllcache"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E)\Global.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E)\svchost.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"
…………………………
3.2 操作一下自启动注册表实现多副本自启动
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\":"C:\WINDOWS\system\KEYBOARD.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\":"C:\WINDOWS\system32\dllcache\Default.exe"
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\":"C:\WINDOWS\system32\dllcache\Default.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\sys":"C:\WINDOWS\Fonts\Fonts.exe"
3.3 操作注册表,修改常见取证工具进程启动路径,将启动的映像路径修改为错误的路径,以此让指定进程无法运行。
修改注册表项如下:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe":"Debugger=C:\WINDOWS\system32\drivers\drivers.cab.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe":"Debugger=C:\WINDOWS\system32\drivers\drivers.cab.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe":"Debugger=C:\WINDOWS\Fonts\fonts.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe":"Debugger=C:\WINDOWS\Fonts\Fonts.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe":"Debugger=C:\WINDOWS\Media\rndll32.pif"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe":"Debugger=C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe":"Debugger=C:\WINDOWS\Fonts\tskmgr.exe"
4 样本威胁等级
Trojan[Steal]Win32.Cosmu ★ ★ ★ ★ ★
系统文件目录感染 ★ ★ ★ ★ ★
自我备份 ★ ★ ★ ★
反常见取证、反病毒工具 ★ ★ ★ ★
劫持进程实现内存注入 ★ ★ ★
实现多副本自启动 ★ ★ ★
设置文件高级隐藏 ★ ★ ★
其他的各种数据就不多给了哈!
书以此文以表愿前东家安天(深圳安之天)顺利、腾飞,也感谢之前的同事,帮助我成长共同进步的兄弟姐妹们,前程似锦!谢谢你们!
也谢谢您的阅读,谢谢!
给个样本练练手 Global.rar
1 基本描述
样本是介于 蠕虫与后门之间,因为样本具备有蠕虫的系统感染性与后门的隐藏性,反取证等特性。经样本分析及自动化运行监控得知,样本并没有直接或间接向远程IP建立通讯链接,实现远程控制。因为样本并不对系统存在高级别威胁,因此并不被众安全厂商给予足够的重视,但是个人认为它对寄生系统同样存在严重的威胁以及影响系统性能,并且样本长期高权限存活在寄生系统底层,相当于长期抱着一个危险品,说不定那天就爆发威胁。从另一个角度上说这个样本是从某客户现场取证出来的样本,因此可以确定此样本已经投放于互联网中。
样本MD5:658a692bb82cb1e053904a5e1ec7766a
2 功能描述
此蠕虫样本主要实现有4大功能特性。
2.1 样本实现样本多处备份,然后再通过子样本备份多其他目录中,实现交叉式系统样本备份感染;
2.2 创建注册表自启动项,将多个备份样本实现自启动;
2.3 设置文件属性,所有备份的直属目录设置为系统隐藏属性,直属样本设置为系统隐藏、只读属性有效防止样本被提取,并将样本图标设置为文件夹路标,诱使用户误认为是文件夹双击运行样本;
2.4 操作注册表实现反取证工具运行。通过样本的3大特性以及多个副本同时运行。使得在副本进程没有全部结束下,样本实现难以在系统清除样本。
二、样本功能分析
3 功能解析
此样本使用的方法技术量比一般的木马要高得多。
1 样本全程使用shellcode,而且样本还加了反静态,一般静态无法分析,也不合算静态分析,个人习惯直接使用动态调试,对关键API下断点。
2 样本进程运行具有比较高的权限,在设置备份文件及文件直系父目录为系统级隐藏属性,所以在取证是,使用一般的ring3层取证工具是无法检测到相关样本及目录的存在。
3 样本具有一定的反取证功能,对常见的取证工具(autorun.exe、auto.exe、boot.exe、ctfmon.exe、msconfig.exe、procexp.exe、taskmgr.exe)进行反取证,方法也比较新颖。
3.1 样本多备份。样本在实现备份后,便操作注册表为备份样本添加自启动项,启动备份样本进程,便开始结束自身进程并进行自删除
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"
且同时运行,实现同一个功能,因此手工查杀,理论上根本不可能实现系统清除病毒。因为每个样本都在尝试相互备份彼此,启动彼此,所以一般只能通过杀毒软件自动化查杀,或者重装系统(样本只在系统盘进行备份,没有殃及其他磁盘)。
再通过"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"副本,在多个系统文件目录中备份。例如:
"C:\WINDOWS\system32\dllcache\svchost.exe"
"C:\WINDOWS\system32\dllcache\Default.exe"
"C:\WINDOWS\system32\regedit.exe"
"C:\WINDOWS\system\KEYBOARD.exe"
"C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
"C:\WINDOWS\Help\microsoft.hlp"
"C:\WINDOWS\Fonts\tskmgr.exe"
"C:\WINDOWS\Media\rndll32.pif"
"C:\MS-DOS.com"
同样对上面Global.exe备份的样子样本设置为系统级别隐藏属性(在取证的时候一开始也感到困惑,为何在设置显示系统隐藏后瞬间,备份的子样本消失,系统查看设置也恢复默认)。
操作注册表设置隐藏属性的文件及目录。
操作注册表项:
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ValueName"
设置隐藏文件及目录:
"C:\WINDOWS\system32\dllcache"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E)\Global.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E)\svchost.exe"
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"
…………………………
3.2 操作一下自启动注册表实现多副本自启动
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\":"C:\WINDOWS\system\KEYBOARD.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\":"C:\WINDOWS\system32\dllcache\Default.exe"
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\":"C:\WINDOWS\system32\dllcache\Default.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\sys":"C:\WINDOWS\Fonts\Fonts.exe"
3.3 操作注册表,修改常见取证工具进程启动路径,将启动的映像路径修改为错误的路径,以此让指定进程无法运行。
修改注册表项如下:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe":"Debugger=C:\WINDOWS\system32\drivers\drivers.cab.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe":"Debugger=C:\WINDOWS\system32\drivers\drivers.cab.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe":"Debugger=C:\WINDOWS\Fonts\fonts.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe":"Debugger=C:\WINDOWS\Fonts\Fonts.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe":"Debugger=C:\WINDOWS\Media\rndll32.pif"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe":"Debugger=C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe":"Debugger=C:\WINDOWS\Fonts\tskmgr.exe"
4 样本威胁等级
Trojan[Steal]Win32.Cosmu ★ ★ ★ ★ ★
系统文件目录感染 ★ ★ ★ ★ ★
自我备份 ★ ★ ★ ★
反常见取证、反病毒工具 ★ ★ ★ ★
劫持进程实现内存注入 ★ ★ ★
实现多副本自启动 ★ ★ ★
设置文件高级隐藏 ★ ★ ★
其他的各种数据就不多给了哈!
书以此文以表愿前东家安天(深圳安之天)顺利、腾飞,也感谢之前的同事,帮助我成长共同进步的兄弟姐妹们,前程似锦!谢谢你们!
也谢谢您的阅读,谢谢!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
