您现在的位置:圣剑网 >> 新闻资讯 >> 病毒预警 >> 正文
发现一款威胁物理隔离系统的病毒 非常狡猾的USB木马
新闻来源:新闻资讯发布时间:2016-04-02 11:58我有话说(0)

图1.jpg

  据悉,目前发现一类难以检测分析的 USB 木马,安全厂商 ESET 安全研究人员初步研究发现该木马主要对物理隔离的系统进行感染传播,是一款网络及工业间谍活动中的“理想”木马。

  其被称为“USB 窃取者”木马(该木马目前于杀软的检测名称为 Win32/PSW.Stealer.NAI trojan),而该木马是当前已发现的木马中复杂度较高的木马。它可通过加密及自保护程序,来逃脱检测和逆向分析,并在成功窃取数据之后,不会留下任何窃取痕迹,使得受害者及安全研究人员难以进行溯源。

  “USB 窃取者”木马的自我保护机制

  根据 ESET 安全研究人员 Tomá? Gardoň 的分析,实际上,该木马是由 4 个执行文件和 2 个配置文件构成,并且可绑定到特定的 USB 设备上,如果该木马实例被复制到其他 USB 设备或者其他存储设备上,对于恶意文件的执行将中断,其内容也将无法识别。那么,我们目前可以了解的自我保护机制主要有以下两种,

  1、各个文件使用 AES128 不对称加密算法进行加密

AES 的加密密钥是由具备唯一性的 USB 驱动 ID 及 USB 驱动磁盘性能计算而来。因此,恶意程序也仅能在特定的U盘上才能运行。

  2、其各个文件名称亦是基于加密算法生成

在木马运行的文件链中,其文件的名称是基于文件内容以及文件创建的时间,通过 SHA512 哈希算法得到的哈希值,最后再选取哈希值中的前五个字节而生成的。

  由于上述的原因,每一个木马实例中的文件名均不同,而且复制木马到不同位置,也将会导致文件创建时间的更改,所以木马的具体行为轨迹难以被复制刻画。这对于进行该木马的剖析工作来说,无疑增加了很多难度,因为并没有有效的方法去逆向该木马。目前只能针对获取到加密样本文件进行分析,并通过暴力破解,获取到了 USB 驱动 ID 信息及磁盘性能。而且在成功解密样本文件之后,也有了一些发现。

  “USB 窃取者”木马的执行流程

  而经过此前的分析,也发现了其中的执行文件和配置文件真正的执行顺序。该木马的执行流程实际上比较简单。每一级加载程序,会根据上述阐述的命名技术算法计算出来的哈希值,再以该哈希值定位执行下一级的加载程序。但整个执行必须依赖于第一级加载程序,否则恶意程序将终止运行。具体流程如下图,

图2.jpg

  第一级加载程序

  第一级加载程序为整个木马的起点,其主要目的为促使受害者运行它。其中的方式也因攻击者设计的攻击路径不同而存在差异。例如可以通过伪装成U盘中的便携软件(也类似于绿色软件)的插件,利用便携软件的运行,从而执行第一级加载程序。于此同时,该加载程序也承担着检测木马是否从U盘中执行以及是否存在写的操作(因为 payload 会将窃取的数据存在在这里)。

  第二级加载程序

  第二级加载程序通过第一阶段的哈希值触发。随后,通过计算自身的哈希值,得出第一个配置文件(如上图)。其中配置文件包含了需验证的父进程的加密名称。而实际上这是一个反调试机制,如果在不同的父进程中运行,则会导致木马运行的终止。最后,第一个配置文件的哈希值被用来计算第三级加载程序的名称。

  第三级加载程序

  第三级加载器会执行防病毒检测,根据目前的检测发现,如果其检测到环境中有运行“avpui.exe”(卡巴斯基杀软进程)或“AVKTray.exe”(德国歌德塔杀软进程),执行将会被终止。

  Payload

  最后,由 payload 来完成数据窃取。该 payload 会被注入到一个新创建的名为“%windir%\system32\svchost.exe -k netsvcs” 的进程中,而在第二个配置文件中,包含了需收集何种数据,如何对数据进行加密以及数据存放位置(保证输出的目标地址在相同的 USB 设备上)等信息。

  在一个分析的案例中,该木马中的 payload 被配置于窃取包括像图像或文档,整个 windows 注册表(HKCU)信息,当前所有驱动的文件列表等数据,并且用到了一个开源的应用程序(名为 WinAudit)进行信息收集。最后,通过 ECC 椭圆加密算法来加密窃取数据,并将数据存储到指定位置。

  “USB 窃取者”木马的威胁

  针对该木马的特性,其作用的场景其实不仅仅只是包含上述提到的将U盘插入到电脑中,实现恶意感染这一场景。Gardoň提到,USB 窃取者同样能将自身打包成常用的便携软件如 Firefox, Chrome, TrueCrypt 及 Notepad++ 等软件的插件或扩展文件。攻击者再通过各种潜在的攻击路径,将该木马发送到受害者的U盘上,并将之作为U盘中的便携软件的插件伪装起来,通过受害者将木马转移到一个物理隔离的系统,并在使用便携软件时运行木马,这对于物理隔离的系统来说具备较大的威胁。

  根据 ESET 安全研究人员 Gardoň所说,

该木马如若进行重新设计,要将其中实施数据窃取的 payload 修改成其他类型的恶意 payload,这对于攻击者来说也不会很困难。

  “USB 窃取者”木马当前的信息

  目前该木马的检测名称如下,

payload: Win32/PSW.Stealer.NAI trojan

loaders : Win32/TrojanDropper.Agent.RFT trojan

  解密文件的哈希值如下:

2C188C395AB32EAA00E6B7AA031632248FF38B2EB03ABE820C0517CCEF98BC178

网友评论

关于圣剑 - 广告服务 - 招聘信息 - 友情连接 - 保护隐私权 - 意见反馈 - 帮助中心 - 联系我们

Copyright © 2016 Sjian.Net Inc. All Rights Reserved.大千网络科技有限公司 版权所有

不良信息举报中心 陕ICP备10005927号 陕公网安备61010402000003号