今日,本人在一受害者机器捕获到一Rootkit病毒
驱动病毒数字签名如下图所示:
火绒日志:
病毒名称:Trojan/Generic!59988760580B1A3C
病毒ID:59988760580B1A3C
病毒路径:C:\Windows\System32\drivers\501c54b0.sys
操作类型:修改
操作结果:已处理
进程ID:4
操作进程:System
父进程:Idle
目前已知的主要症状为火绒能够反复扫描到病毒驱动,专杀无法检出病毒驱动
经过对其火绒日志的查阅,我们可以发现,火绒不仅是“文件实时监控”模块监测到了病毒驱动的释放,而且“WEB扫描”模块监测到了病毒驱动的下载行为。那就跟好办了,也就是说火绒捕获到了下载命令行和下载URL。相关信息,如下图所示:
我们发现,病毒驱动的下载URL为“hxxp://103.107.191.185:2247/driverfile/2H72WFlov1Q.sys”
经过查阅“奇安信威胁情报中心”威胁情报,我们查阅到了以下URL:
(1)于是我们访问hxxp://103.107.191.185:2247/api/drive_config/drivedownloadfilelist,如下图所示:
{"data":{"filelist":[[{"number":"1","name":"SysName.sys","switch":"1","server":"ChaPox2","tag":"1","acc":"","altitude":"370024","serverDownloadFileName":"1k0ucWGxIQn.sys","serverDownloadFileMd5":"6E730CF4EBCD166D26414378CAB3A6D8"},{"number":"2","name":"SysNameUp.sys","switch":"1","server":"UpPox","tag":"2","acc":"","altitude":"370025","serverDownloadFileName":"2H72WFlov1Q.sys","serverDownloadFileMd5":"1152ECE24C2A1CDF14FD17B7314A2539"}]]},"message":"","success":"1"}
(2)我们发现“drive_config/drivedownloadfilelist”里面只有两个驱动
但是仔细观察威胁情报信息,细心的你有没有发现
http://103.107.191.185/api/safe/checkdownloadfile?filelist=[{"name":"fivesys_1.sys","md5":"e9a786a47d0b8df1fdfe691e609cb78e"}]
和
http://103.107.191.185/api/popup/fivedrivecheckdownloadfile?filelist=[{"name":"sysname.sys","md5":"f8ccabcbe08bbd2c8420f4d1cffcefd8"}]
本人并未找到f8ccabcbe08bbd2c8420f4d1cffcefd8的相关样本
但是通过对e9a786a47d0b8df1fdfe691e609cb78e的查询,我们发现这是一个2021年(3个月之前)的WHQL Rootkit,如下图所示:
至此,本篇分析溯源暂时好一段落
Ioc:
103.107.191.185
1152ECE24C2A1CDF14FD17B7314A2539
6E730CF4EBCD166D26414378CAB3A6D8
f8ccabcbe08bbd2c8420f4d1cffcefd8
e9a786a47d0b8df1fdfe691e609cb78e
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课