ATBroker.exe:一个被病毒利用的微软进程

一 前言

一般情况下,病毒会利用添加启动项、计划任务、服务的方式来实现开机启动,达到留存和活跃的目的。然而,利用atbroker.exe系统进程,实现病毒开机启动的方式并不常见。虽然该手法在2016年7月已经有被曝光,但是被发现的在野攻击却不多。不久前,某网友机子上的某杀毒软件不停的提示有挖矿(zec币)程序在运行,删除恶意程序后,下次开机还是会不停的出现。在一番苦心挖掘下,终于摸清了病毒的自启、躲避杀软的攻击手法。

本次抓到的样本,通过利用atbroker.exe自启病毒母体,然后通过rundll32加载恶意模块,最后实现文件的md5修改、释放和执行挖矿程序。

二 技术背景

2.1 atbroker.exe背景介绍

atbroker.exe(C:\Windows\System32目录下),源于微软的“轻松访问中心”。”轻松访问中心”的一项功能是帮助用户启动辅助功能应用程序,常用的包括讲述人,屏幕键盘和放大镜。同时,这意味着第三方程序也可以通过注册“轻松访问中心”的方式来启动。这一机制使得病毒可以通过写注册表的方式,利用atbroker.exe启动恶意程序。

atbroker.exe的文件信息如下:

2.2 atbroker.exe 攻击手段

早在2016年7月22就曝光了利用atbroker.exe运行恶意程序的方法,但是网上对利用该手法进行恶意攻击的文章不多。详情请戳:

http://www.hexacorn.com/blog/2016/07/22/beyond-good-ol-run-key-part-42/

https://msdn.microsoft.com/library/windows/desktop/mt826492

亲测,触发atbroker.exe启动,有以下几个场景

(1)锁屏或者登录时 (2)开机启动时 (3)运行atbroker.exe时 (4)按下Ctrl+Alt+Del时 (5)触发UAC时

下面用一个小视频演示Win10 下UAC触发atbroker.exe启动恶意程序(以notepad.exe为例)的场景,感兴趣的可自行测试

三 zec币挖矿攻击

3.1 攻击流程

从病毒母体的自启动,到最终的挖矿程序执行,中间用了多层手法,用此方法有主要两个目的:

(1)隐藏母体,让病毒长期驻存和活跃; (2)不断改变MD5逃避杀软查杀。

这里用红色字体标注恶意文件,用蓝色字体标注系统进程,流程如图所示

3.2 自启动

样机上的atbroker.exe利用的注册表信息:

注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs下创建了一个Zlocal39的项,其中StartExe的值指向病毒母体,StartParams的内容是运行参数 woshiyizhixiaomaolv(我是一只小毛驴?)

注册表HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Session1下的Configuration的值为Zlocal39

通过processmon 的开机监控发现,系统登录时会启动atbroker.exe,然后atbroker.exe接着执行恶意程序Zloc.exejPnAtDoPy.exe,参数 woshiyizhixiaomaolv

3.3 样本分析

IDA 打开Zloc.exejPnAtDoPy.exe(MD5:27d6209b6e10183a126906a714390577),pdb路径暴露了作者的QQ号。是故意留名?还是无意之举。

Zloc.exejPnAtDoPy.exe主要是在temp目录下释放文件名随机,后缀名为lbll的模块并加载

释放并加载ibll文件后,接着起rundll32加载idTemp.data,函数入口CgvSEcXgGkbWwkFa。(这里的vCTemp.data(MD5:27d6209b6e10183a126906a714390577) 其实就是Zloc.exejPnAtDoPy.exe)

IDA打开idTemp.data(MD5:201136f459c3982bc75d440f8afe40c4),该模块主要是创建线程和释放挖矿文件到C:\ProgramData\GTOrigin 目录下,并解压挖矿文件到%appdata%/Wtrl目录下

Sub_10004A20( )关键代码

释放文件

进入到该目录下查看这些文件,其中ini的文件为加密的配置文件,Wtrl.cab是包含挖矿模块(后来证实是antpool的zec挖矿模块)的压缩包

Wtrl.cab的文件最后被释放到%appdata%/Wtrl目录下

接着rundll32调起Mine.exe(MD5:c849f42721cc0a0d66f405602126ecf0),运行参数 woshiyizhixiaomaolv

Mine.exe调起ThundCloud.exe(d9c6ab06dd0ea7703eff952d40c4e4ce),运行参数依然是 woshiyizhixiaomaolv

ThundCloud.exe最后加载同目录下的挖矿模块,用wireshark 抓包得到矿池地址,账号名和矿工名

五 溯源

根据pdb路径暴露的QQ号,查到作者于12年毕业,活跃于看雪论坛,擅长windows驱动开发

六 总结

通过本次事件的分析,atbroker.exe 是病毒很好的藏身之地。病毒再通过改变MD5和白+黑手法,能绕过大部分杀软的查杀。触发atbroker.exe来启动病毒的场景很多,包括开机自启、锁屏、UAC和参数运行等。利用该机制,使得病毒能够轻松拉活自己并长期驻存在系统中。

IOCs

27d6209b6e10183a126906a714390577 05b5f526631cb3c63ae45061dbac316a 201136f459c3982bc75d440f8afe40c4 c849f42721cc0a0d66f405602126ecf0 d9c6ab06dd0ea7703eff952d40c4e4ce

参考文章

http://www.hexacorn.com/blog/2016/07/22/beyond-good-ol-run-key-part-42/ https://msdn.microsoft.com/library/windows/desktop/mt826492

*本文原创作者:ozczzzz,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏mathor

HackingLab的一套渗透测试题

 Hackinglab是一个在线网络信息安全攻防平台,里面有很多题,我随便做里面一套题,算是这两天学渗透的一个总结,题目地址

79940
来自专栏Ceph对象存储方案

RGW 服务端加密爬坑记

参考了官方文档,决定采用 Customer-Provided Keys(Amazon SSE-C)方式进行加密

29940
来自专栏FreeBuf

快速读懂无线安全

* 本文原创作者:icecolor不疯不魔不成活,本文属FreeBuf原创奖励计划,未经许可禁止转载 About channel: ? 1.每个协议都有不同的工...

375100
来自专栏FreeBuf

新型勒索病毒软件GruxEr来袭:深度分析如何传播、加密及如何删除

本文旨在帮助您清除Gruxer ransomware感染,并通过此ransomware病毒恢复AES加密文件。 据报道,GruxEr名称的ransomwar...

31060
来自专栏散尽浮华

Linux下防御DDOS攻击的操作梳理

DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请...

1.8K90
来自专栏FreeBuf

树莓派随身工具箱:中间人劫持获取控制权

上文讲解了树莓派随身工具箱的环境搭建,这段时间又对其进行了一些优化,主要是从便携美观上面改进。同时,在实际使用中发现了一些问题,并做了小小的改动。

33830
来自专栏FreeBuf

“奇幻熊”(APT28)组织最新攻击

近日腾讯御见威胁情报中心在监测Fancy Bear“奇幻熊”组织的攻击活动过程中,发现了其使用的最新攻击样本。下文将详细披露该组织的攻击手法,和各企业一起共同抵...

29880
来自专栏运维小白

原QQ坦白说之解密教程

背景:之前在QQ上突然有人发坦白说给我,第一感觉就是谁恶搞我,想找到是谁,是谁在恶作剧 ? ---- QQ坦白说之解密教程 一、模拟手机QQ 首先使用谷歌...

49090
来自专栏林冠宏的技术文章

浅析 <路印协议--Loopring> 及整体分析 Relay 源码

15230
来自专栏Java帮帮-微信公众号-技术文章全总结

JAVA实现的支付宝扫描二维码支付

最近项目中要上线支付功能、前段时间刚开发完微信的扫码支付、不得不说微信开发团队的文档真是一个烂。但总算是对照着API把功能交付上线了。

1.2K10

扫码关注云+社区

领取腾讯云代金券