安天针对 “暗云Ⅲ” 的样本分析及解决方案
安天安全研究与应急处理中心
初稿完成时间:2017年05月30日 20时38分
首次发布时间:2017年06月10日 05时38分
本版更新时间:2017年06月12日 17时00分
1 事件回顾
安天安全研究与应急处理中心(Antiy CERT)在北京时间5月26日19时,监测到中国发生了一次大规模的DDoS攻击事件。参与攻击的源地址覆盖广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。研究人员将此次攻击命名为“RainbowDay”——“暗云Ⅲ”。经过多次取证分析发现,其恶意代码感染量较大,并且其恶意代码的功能非常复杂,利用带有正常数字签名的文件进行传播,同时具有下载文件执行、刷流量、DDoS攻击等行为。
2 “暗云Ⅲ”进行DDoS攻击的目标
本次攻击开始于5月26日19时,全国有大量真实IP地址被动发起DDoS攻击,随后又进行了二次DDoS攻击。按时间顺序,其攻击目标有三个:
5月28日发现大量用户机器向指定的59.153.75.7 IP地址发数据包,每秒发包数次并且数据量非常大。
有大量真实IP地址在此期间对三个目标进行DDoS攻击,下图为一些受害IP向C2服务器发起的请求,每个真实IP都请求了十几次以上。通过对C2地址的追溯,我们发现此DDoS事件是通过在C2地址获取配置后所进行的DDoS攻击。从一些数据上来看参与DDoS攻击的IP地址并不是全部,只是部分受害IP更新了配置从而进行DDoS攻击。
3 “暗云Ⅲ“样本分析”
本次DDoS攻击事件最原始的传播是通过捆绑在下载器中的软件和一些Patch正常游戏微端的方式将ShellCode捆绑到正常游戏中,修改了游戏程序中的一个资源文件PNG,在其尾部添加大量的ShellCode代码。执行后会从网络上下载一个配置文件,读取配置文件中的下载地址,下载并执行所下载的DLL文件;然后再次通过网络下载文件upcfg.db(具有写MBR功能的模块3)执行。执行后再一次连接网络下载文件lcdn.db(lua脚本解释器)和ndn.db(lua脚本文件)执行DDoS功能,lcdn.db的功能是DDoS,而ndn.db是lua脚本。整体执行流程如下图所示:
具体流程描述如下。
1.游戏文件具有数字签名:
2.通过对游戏执行流程修改来启动病毒代码,病毒执行完后再跳回游戏程序流程,让游戏可以正常运行:
3.查找资源中的PNG文件:
4.加载找到的PNG文件并执行ShellCode:
5.加载ShellCode并执行:
6.通过ShellCode解压出另一个ShellCode和模块1:
7.执行后会加载模块1并执行:
整个传播通过Patch对一些游戏进行修改,添加一些ShellCode并执行。ShellCode的功能为加载被替换的资源并解压执行一个模块1,模块1功能请看如下分析。
3.1 模块1分析
模块1为传播文件中最后要执行的文件。该模块运行后会检查系统环境是否在虚拟机中,尝试关闭指定的安全软件,并查看计算机是否为网吧中的计算机,然后将系统信息回传到服务器上。服务器会根据返回信息发送一个配置文件,其功能是下载一个DLL文件并执行,DLL文件功能为下载upcfg.db文件。
1.通过读weblander.ini判断安装包文件格式,必须包含两个下划线、一个点及推广号:
2. 通过WMI查询磁盘名称,检测是否运行在虚拟机中:
3. 通过WMI查询进程列表,检测是否存在网吧管理软件:
4. 通过WMI检测杀毒软件:
5. 上传系统信息,如MAC和推广ID:
信息回传后会获取一个下载配置信息,下载LDrvSvc.zip 并通过rundll32.exe 加载DLL文件,其为驱动人生的一个安装包,里面有一个DtCrashCatch.dll恶意文件,用于网络中下载感染MBR的文件upcfg.db模块。
3.2 模块2和MBR写入分析
模块2 功能主要是从网络中下载upcfg.db文件并解密,得到其中的ShellCode。
下载后的upcfg.db文件需要进行解密,通过判断其前4个字节是否为0xA5A5A5A5来调用后面的ShellCode执行。
其后续的ShellCode功能仍是用RtlDecompressBuffer进行解压,得到另外一个ShellCode代码。执行后会在内存中执行一个模块3,模块3为修改MBR,实现长久驻留系统的功能,内部带有ShellCode。
该文件是在受害机上提取的MBR文件,通过分析,我们确定其为被感染的主机。
在MBR中发现有一个控制域名ms.maimai666.com。
3.3 模块4样本分析
模块3访问kn.html页面请求配置信息并执行相关配置信息。
获取配置信息,并从中取出lcdn的下载地址。
验证文件是否合法。
对lcdn文件进行解密,下图为部分解密算法。
创建svchost,并将解密后的代码注入,并执行
4 解决方案
在MBR中发现有一个控制域名ms.maimai666.com。根据“暗云Ⅲ”木马程序的传播特性,CNCERT建议用户近期采取积极的安全防范措施[2]。安天建议:
1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。
2、定期在不同的存储介质上备份信息系统业务和个人数据。
3、安装安天智甲防勒索免费专版和安天RainbowDay(暗云Ⅲ)专杀工具。
1)针对未感染的用户,推荐安装安天智甲防勒索免费专版。安天智甲通过采用上层监控、备份MBR、底层防御、多维度MBR改写监控等多种技术手段,有效防御恶意代码的绕过检测,阻止非法修改MBR行为,进而防御此类Bootkit恶意代码。在终端网络侧,安天智甲针对网络下载行为的Payload Block 检测机制,可以拦截恶意代码下载的可疑文件,阻断其进行网络行为,防止恶意代码下载更新恶意模块。
2)针对已感染“暗云Ⅲ”的主机,建议采用安天RainbowDay(暗云Ⅲ)专杀工具进行查杀,具体使用方法如下:
A.用户使用PE镜像方式启动操作系统;
B.在WinPE启动环境下,运行安天RainbowDay(暗云Ⅲ)专杀工具,并点击“开始排查”按钮;
C.当显示发现MBR被“暗云Ⅲ”修改后,提示是否修复,点击“确定”按钮开始修复;
D.扫描完毕后点击“威胁清除”按钮,清除检测到的“暗云Ⅲ”恶意代码;
E.重新启动操作系统,结束修复。
5 “暗云Ⅲ“之思
“暗云Ⅲ”木马通过游戏微端、外挂、私服登录器等方式进行传播,且利用多种技术手段增强其隐蔽性。目前,被该木马控制的主机已形成了一个大规模僵尸网络,且控制端可以通过更换脚本的方式对不同目标发起DDoS攻击;同时,病毒样本对数字签名的使用也印证了安天CERT于“2016安天基础威胁年报”中对“代码签名体系已经被穿透”这一观点的论述。
传统的恶意代码处置观形成于DOS时代,彼时的恶意代码主要以感染式病毒为主,其窃密能力较弱、传播效率低,短时间内难以形成一定规模的经济模式。针对此类恶意代码进行的查杀恢复处置模式也沿袭到了今天。然而,随着PC终端的迅速普及和互联网的高速发展,PC及其他电子设备所承载的资产价值日益升高,攻击者利用恶意代码对用户攻击的方式呈现多样性,用户受侵害的程度有所增强,传统的恶意代码处置观已无法满足当前复杂多样的网络安全威胁的处置流程。
商业军火的扩散全面降低了攻击成本,使得当前恶意代码的作业深度,由Bootkit等传统方法演进为更深度的技术(如Bioskit、固件程序等),面对此类威胁时,基于查杀恢复的处置思路并不能够达成防御效果。针对此现状,应建立新的恶意代码处置流程,在完成基础恶意代码的查杀处置、业务系统恢复后,妥善规划后续的处置程序。在按照安全规程重建环境,保证安全策略合理、系统补丁最新的条件下,安装能力型厂商提供的终端安全产品,推动积极防御、威胁情报与架构安全和被动防御的有效融合,建立攻击者难以预测的安全能力,达成有效防护和高度自动化和可操作化的安全业务价值。
特别感谢:哈尔滨工业大学网络安全响应组
附录一:参考资料
http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
[2]CNCERT:《关于“暗云”木马程序有关情况通报》
http://mp.weixin.qq.com/s/AlEvirBkOSBOJAHNFcH30Q
9 附录二:关于安天
安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。
全球超过一百家家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
关于反病毒引擎更多信息请访问: http://www.antiy.com(中文)
http://www.antiy.net (英文)
安天企业安全公司更多信息请访问: http://www.antiy.cn
安天移动安全公司(AVL TEAM)更多信息请访问: http://www.avlsec.com