“DNS隧道”盗号木马分析

盗号木马相信大家都不陌生。随着网络越来越普及,网上的账号密码越来越重要,盗号木马的生命力也就越发的顽强了。

随着与杀毒软件的对抗,盗号木马也在不断的更新换代。QQ粘虫就是一个很典型的例子,这类木马的特点可以参考我们之前写过的博文《“神奇”的qq粘虫之旅》。而最近我们又监控到了QQ粘虫中的一例新变种,其主要的突破在于将盗取的信息通过网络发送出去的方法,思路颇为新颖,分享出来与大家共同把玩。

预热

从行为上来看,这其实就是个普通的QQ粘虫木马而已:

伪装成一个文件夹,诱导用户点击

运行后不断监控顶端窗口,一旦发现为QQ,就弹出一个自己伪造的QQ登陆窗口,诱导用户输入密码

编码与发送

如果你不幸输入了密码并点击了登陆,那么请节哀——你中招了。你的QQ号和密码这些隐私数据正在木马指令的授意下,被你自己不惜高价买下的高性能CPU和内存飞速的进行着编码,并最终由你所钟爱的那块网卡发送到盗号者的服务器上……这绝对会是一个忧伤的故事……

但木马的编码过程却颇费周章:

首先,是将一个固定字符串“aaaaaa”与你的QQ号和密码这三组字符串,以制表符(’\t’)相连,拼成一个新的字符串,并将其转为UTF-16编码

然后,将上面的拼出的字符串的字符数(非字节数,实际上由于是UTF-16编码,字符数是字节数的1/2),保存为大端的WORD形式

接着,再将之前得到的账号信息字符串取Hex字符串后再次进行UTF-16编码……

我自己说着都乱……举个例子,字符’a',也就是’\x61′,UTF-16编码后就是’\x61\x00′,取Hex字符串就变成了’6100′,也就是’\x36\x31\x30\x30′,再UTF-16后则是’\x36\x00\x31\x00\x30\x00\x30\x00′

好吧,我猜大部分人还是晕……直接给大家看看最终结果吧,你的账号信息已经变的面目全非了:

同时,前面获取到的字符数也做同样的处理,并拼到上面这个字符串的前面,如下:

最后,以16字符为一批进行循环加密,并将加密后数据转成UTF-16编码的Hex字符串,最终结果如下:

这么麻烦,当然是为了绕过各种检测和分析系统,但同时还有一个目的——盗号者需要加密后的结果依然保持所有字符必须只有字母和数字组成(理论上还可以有连字符)。

这是为了给这个木马最关键的一步做好铺垫——以DNS查询的形式将账号信息发送出去!

木马在内存中将加密后的字符串,前面拼上”www.”,后面拼上”.cn”,得到了一个根本不存在的域名。再填上必须的结构,精心构造出了一个DNS查询数据包。

再将这个数据包用UDP协议发送到了自己的服务器的53端口——一切看起来都如此的天衣无缝。

一个DNS查询而已,没有额外的非法数据,只是查询了一个不存在的域名,伪装的够深了吧!

百密一疏

但其实,通过Wireshark抓包还是可以看到一个很讽刺的事实——这个数据包依然是畸形的!根本不是正常的DNS查询。

根据Wireshark的报错信息,可以看到问题出在Queries这一段上,那具体是哪里异常了呢?QNAME部分的每个Label和前面的字节数都能对应上,QType是0×0001——A类请求,QClass是0×0001——IN。看着好像都没错啊?

其实问题还就是出在了木马作者精心拼凑的这个加密字符串上,这一段Label的字节数为0×80——即128字节。而DNS请求的数据结构中队Label的长度可是有严格的规定的:

Labels must be 63 characters or less.(参考RFC882 [Page30])

也就是说Label被允许的最大长度只有63字节——即0x3f,只要超过了这个值,即为畸形!

最后360的拦截截图是不能少的:

同时也再次提醒大家——不要随意执行网上下载下来的程序,发现涉及到账号密码的异常状况,更要慎之又慎。在这个信息的时代,你的任何一些看起来无关紧要的数据的泄露,都可能成为黑客手中的重要社工数据——信息安全无小事。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-07-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

2017影响扑克圈的黑暗事件

今年扑克圈出现的问题也是全世界相关问题的映射。人类社会感受到了数字入侵的危害和勒索软件的威胁,也无法忽视某个叫做比特币的东西价格飙升,这些意想不到的势力也扩张到...

22080
来自专栏企鹅号快讯

保护好手中的比特币,比特币诈骗又见新花样!

比特币价格飙涨吸引的可不止投资者,黑客也会趁机行骗。 近日,市面上出现黑客钓鱼用的电子钱包应用,甚至有恶意程序冒充搜索引擎上的广告。 使用者稍有不慎就可能使自己...

24970
来自专栏企鹅号快讯

黑客控制你的车!不信?其实很简单

汽车和电脑之间的友谊日益密切且复杂。专业软件可实现车辆各部件的互联,从刹车到方向盘再到到门锁乃至收音机,所有部件均能实现网络连接。许多较新车型还能实现车辆与互联...

28980
来自专栏企鹅号快讯

“想哭”蠕虫病毒来自朝鲜?神秘黑客大军在西方已成传说

朝鲜是个什么样的国家?对于身处智能时代的“低头族”,大多数人脑海中闪现的第一个念头必然是——没有WIFI,互联网技术落后!但是西方媒体和专家认为,这种认知大错特...

25390
来自专栏企鹅号快讯

黑客通过Facebook Messenger传播加密货币挖掘恶意软件

在目前加密货币价格越来越高情况下,越来越多的网站偷偷摸摸地使用访问者的CPU来挖掘加密货币。但是一个新发现的挖掘恶意软件更加恶意,并且正在通过Facebook ...

20750
来自专栏企鹅号快讯

假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

“用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

22850
来自专栏企鹅号快讯

赛门铁克:更多的网站被黑客挂上挖矿脚本!

近年来,随着加密货币的价格被不断炒高,黑客们也动起了歪脑筋来获利。根据赛门铁克今日发布的一份报告,公共网站被黑客挂上挖矿脚本的情况有变得更加严重的趋势。 一旦运...

23480
来自专栏企鹅号快讯

黑客展示如何攻击飞机和汽车

1997年,知名黑客杰夫·莫斯创立了黑帽子大会,历经17年的发展,黑帽大会已经成为信息安全领域的风向标,每年黑帽大会讨论的安全议题大都成为了未来的趋势和方向。 ...

244100
来自专栏企鹅号快讯

给孩子挑礼物需谨慎:一个可爱的玩具可能把黑客带到你家

“用指尖改变世界” ? My Friend Cayla是一款长发及腰的智能洋娃娃,由美国玩具公司Genesis Toys生产。它可以与孩子们进行对话,并能够记住...

209100
来自专栏企鹅号快讯

斯诺登研发黑客警报App上架 监测功能引发争议

中新网12月26日电 据香港《文汇报》报道,揭发美国国家安全局(NSA)秘密监控计划的中情局(CIA)前雇员斯诺登,日前公布一款他协助研发的手机应用程序(App...

21660

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励