专栏首页FreeBuf利用第三方软件0day漏洞加载和执行的木马分析

利用第三方软件0day漏洞加载和执行的木马分析

近期腾讯反病毒实验室捕获了一批针对性攻击的高级木马,该木马使用近期热门的时事话题做诱饵,对特殊人群做持续针对性攻击,目前腾讯电脑管家已经能够准确拦截和查杀该木马。

图 1. 腾讯反病毒实验室拦截到的部分木马文件压缩包

木马介绍

该木马主要通过邮箱等社交网络的方式对特定用户进行针对性推送传播,原始文件伪装成常见的windows 软件安装程序,一旦用户运行了该木马文件,便会将包含 0day 漏洞的一个第三方软件及相应的库文件释放到指定目录中,同时释放一个加密的数据文件到同一目录下。将含有针对性0day 漏洞攻击的命令行参数传递给该文件执行。随后进行自毁操作,不留痕迹。

图 2. 木马安装后将特定的第三方软件文件释放到磁盘指定目录中

该木马释放出的所有 PE文件均为 9158多人视频聊天软件的模块,具有很大的用户群,文件有完整且正确的该公司的数字签名信息。其中的science.exe 在解析命令行参数时存在缓冲区溢出漏洞,且编译的时候未开启 GS 等安全开关,触发后能够执行参数中携带的任意 Shellcode 恶意代码。这也是木马找到这个白文件漏洞来利用的原因,用户群体大,漏洞非常方便利用。由于恶意代码是在正常文件的内存中直接执行,同时在磁盘中驻留的文件均为正常软件的白文件,因此此木马绕过了几乎所有安全防护软件。腾讯电脑管家使用了云查引擎,第一时间发现并查杀该木马,同时已经第一时间通知相关厂商修复该漏洞。

图3.9158多人视频软件安装目录,对比发现,木马释放的PE均在其中

木马加载执行的详细过程

1、首先释放文件到指定目录,共 5个文件,其中 science.exe、DDVCtrlLib.dll、 DDVCtrlLib.dll均是9158多人聊天软件的相关文件,Config.dat是一个加密的数据文件,t1.dat是一个配置文件。

2、带参数运行 science.exe,其中参数共 0x2003 字节,随后原始木马文件进行自毁操作

图 4. 使用含有恶意代码的参数执行含有 0day 漏洞的文件

3、由于 science.exe对输入的参数没有检查,当输入的参数长度过长时,造成栈溢出

图 5. 漏洞细节:由于软件解析参数时没有校验长度,导致缓冲区溢出

图6.漏洞利用细节:精心构造最后三字节数据精确定位跳转执行ShellCode

图 7.ShellCode 的自解密算法

图8. ShellCode的功能是读取并解密Config.dat文件,直接在内存中加载执行

图9.创建一个系统服务,服务对应的镜像文件为science.exe,并带有恶意参数

木马通过创建服务来实现永久地驻留在用户电脑中,实现长期地监控。完成服务创建后,即完成了木马的安装过程,为了隐蔽运行不被用户发觉,木马服务启动后会以创建傀儡进程的方式注入到svchost.exe进程中,在该进程中连接C&C服务器,连接成功后黑客便可通过该木马监视用户桌面、窃取用户任意文件、记录用户键盘输入、窃取用户密码、打开摄像头和麦克风进行监视监听等。从而实现远程控制目标计算机的目的。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-03-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 木马的前世今生:上线方式的发展及新型上线方式的实现

    0x00 前言 在讲文章主题之前,我们还是习惯性地聊(che)一(che)聊(dan)。 远程控制木马大家都不陌生,尤其是早期接触黑客技术的人,应该可以发现早在...

    FB客服
  • 来自云端的木马:“百家”木马集团分析

    0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

    FB客服
  • 神话传奇:一款通过卖号在微信群传播的远控木马

    近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情...

    FB客服
  • Hacking Team漏洞大范围挂马,上百万电脑中招

    一、概况 近日,腾讯反病毒实验室拦截到一个恶意推广木马大范围传播,总传播量上百万,经分析和排查发现该木马具有以下特征: 1)该木马是通过网页挂马的方式传播的,经...

    FB客服
  • JS控制Video播放器(快进、后退、播放、暂停、音量大小)

    比如:向上键对应的keyCode为38,向下键对应的keyCode为40,向左键对应的keyCode为37,向右键对应的keyCode为39,空格键对应的key...

    用户1518699
  • JS控制Video播放器(快进、后退、播放、暂停、音量大小)

    比如:向上键对应的keyCode为38,向下键对应的keyCode为40,向左键对应的keyCode为37,向右键对应的keyCode为39,空格键对应的key...

    用户6973020
  • 数感一分钟10|老奶奶爬楼梯

    用户7378374
  • Resource leak: 'sc' is never closed 资源泄漏:'sc'永远不会关闭

    黑泽君
  • layui表格套模块(表格)

    layui(谐音:类UI) 是一款采用自身模块规范编写的前端 UI 框架,遵循原生 HTML/CSS/JS 的书写与组织形式,门槛极低,拿来即用。其外在极简,却...

    生南星
  • ApiPost接口调试工具模拟Post上传文件(中文版Postman)

    ApiPost是一个支持团队协作,并可直接生成文档的API调试、管理工具。它支持模拟POST、GET、PUT等常见请求,是后台接口开发者或前端、接口测试人员不可...

    骑马的少年

扫码关注云+社区

领取腾讯云代金券