近期騰訊反病毒實驗室捕獲了一批針對性攻擊的高級木馬，該木馬使用近期熱門的時事話題做誘餌，對特殊人群做持續(xù)針對性攻擊，目前騰訊電腦管家已經(jīng)能夠準確攔截和查殺該木馬。

圖 1. 騰訊反病毒實驗室攔截到的部分木馬文件壓縮包

木馬介紹

該木馬主要通過郵箱等社交網(wǎng)絡的方式對特定用戶進行針對性推送傳播，原始文件偽裝成常見的windows 軟件安裝程序，一旦用戶運行了該木馬文件，便會將包含 0day 漏洞的一個第三方軟件及相應的庫文件釋放到指定目錄中，同時釋放一個加密的數(shù)據(jù)文件到同一目錄下。將含有針對性0day 漏洞攻擊的命令行參數(shù)傳遞給該文件執(zhí)行。隨后進行自毀操作，不留痕跡。

圖 2. 木馬安裝后將特定的第三方軟件文件釋放到磁盤指定目錄中

該木馬釋放出的所有 PE文件均為 9158多人視頻聊天軟件的模塊，具有很大的用戶群，文件有完整且正確的該公司的數(shù)字簽名信息。其中的science.exe 在解析命令行參數(shù)時存在緩沖區(qū)溢出漏洞，且編譯的時候未開啟 GS 等安全開關，觸發(fā)后能夠執(zhí)行參數(shù)中攜帶的任意 Shellcode 惡意代碼。這也是木馬找到這個白文件漏洞來利用的原因，用戶群體大，漏洞非常方便利用。由于惡意代碼是在正常文件的內存中直接執(zhí)行，同時在磁盤中駐留的文件均為正常軟件的白文件，因此此木馬繞過了幾乎所有安全防護軟件。騰訊電腦管家使用了云查引擎，第一時間發(fā)現(xiàn)并查殺該木馬，同時已經(jīng)第一時間通知相關廠商修復該漏洞。

 圖3.9158多人視頻軟件安裝目錄，對比發(fā)現(xiàn)，木馬釋放的PE均在其中

木馬加載執(zhí)行的詳細過程

1、首先釋放文件到指定目錄，共 5個文件，其中 science.exe、DDVCtrlLib.dll、 DDVCtrlLib.dll均是9158多人聊天軟件的相關文件，Config.dat是一個加密的數(shù)據(jù)文件，t1.dat是一個配置文件。

2、帶參數(shù)運行 science.exe，其中參數(shù)共 0×2003 字節(jié)，隨后原始木馬文件進行自毀操作

圖 4. 使用含有惡意代碼的參數(shù)執(zhí)行含有 0day 漏洞的文件

3、由于 science.exe對輸入的參數(shù)沒有檢查，當輸入的參數(shù)長度過長時，造成棧溢出

圖 5. 漏洞細節(jié)：由于軟件解析參數(shù)時沒有校驗長度，導致緩沖區(qū)溢出

圖6.漏洞利用細節(jié)：精心構造最后三字節(jié)數(shù)據(jù)精確定位跳轉執(zhí)行ShellCode#p#

圖 7.ShellCode 的自解密算法

圖8. ShellCode的功能是讀取并解密Config.dat文件，直接在內存中加載執(zhí)行

圖9.創(chuàng)建一個系統(tǒng)服務，服務對應的鏡像文件為science.exe，并帶有惡意參數(shù)

木馬通過創(chuàng)建服務來實現(xiàn)永久地駐留在用戶電腦中，實現(xiàn)長期地監(jiān)控。完成服務創(chuàng)建后，即完成了木馬的安裝過程，為了隱蔽運行不被用戶發(fā)覺，木馬服務啟動后會以創(chuàng)建傀儡進程的方式注入到svchost.exe進程中，在該進程中連接C&C服務器，連接成功后黑客便可通過該木馬監(jiān)視用戶桌面、竊取用戶任意文件、記錄用戶鍵盤輸入、竊取用戶密碼、打開攝像頭和麥克風進行監(jiān)視監(jiān)聽等。從而實現(xiàn)遠程控制目標計算機的目的。