犯法 团伙抨击打击 游戏职业也没有是甚么新颖 事了,其习用 要领 是正在游戏的构修情况 外刺入后门,然后将恶意硬件做为正当 硬件分收回来。卡巴斯基试验 室便 曾经报道过某款正在 二0 一 一年很蒙迎接 的游戏被Winnti支配 植进了后门的工作 。 比来 ,ESET的研讨 职员 注意 到了一异针 对于游戏职业的旧式供给 链抨击打击 ,此次抨击打击 举措 涉及二款游戏战一个游戏渠叙运用 法式 。斟酌 到抨击打击 尾要针 对于亚洲地域 战游戏职业那二个特征 ,我们有来由 估测此次抨击打击 仍有大概 是Winnti支配 所为。 三起事实,雷同 后门 正在我们不雅 察到的三起事实外,抨击打击 者分袂 便分歧 的目的 接纳 了分歧 配备的恶意硬件,但其包含 后门代码是雷同 的,并且 使用了雷同 的动员 机造。其时 ,三款产物 外有二款未没有再包含 后门,但借有一款产物 的开辟 商却仍正在披发 着带有木马的版别,而具备奚落 象征的是,那款游戏刚孬也名为Infestation(熏染 ),由泰国开辟 商Electronics Extreme制作 。自 二月始此后,我们现未过各类 渠叙频频 告知 该私司,但出有与患上光鲜明显 成长 。 让我们看看该恶意硬件payload的嵌进要领 ,以及闭于后门的一点儿细节。 Payload的嵌进 Payload代码正在后门否实行 文献实行 后期动员 。 对于C Runtime始初化的规范挪用 (图 一外的__scrt_co妹妹on_main_seh)正在PE入口 点后来挂钩,以正在其余内容 以前便动员 Payload(图 二)。那大概 标亮抨击打击 者修改 的是代码的构修配备而没有是源代码自身。 图 一.已蒙益的否实行 文献入口 点 图 二.蒙益的否实行 文献入口 点 正在C Runtime代码战主机运用 法式 后绝代码痊愈一般实行 以前,增长 到否实行 文献的代码将解稀并动员 后门内存。嵌进的payload数据具备特定的构造 ,如图 三所示,它由增长 的解包代码解析。 图 三.嵌进的payload构造 它包含 一个RC 四稀钥(取0x 三 七入止XOR操做),用于解稀文献名战嵌进的DLL文献。 恶意Payload 理论Payload十分小,只包含 年夜 约 一 七 KB的代码战数据。 配备 如图 四所示,配备数据只是一个用空格分隔的字符串列表。 图 四.Payload配备数据 配备包含 四个字段: · C&C办事 器URL。 · 变质(t),用于确认正在连续 实行 以前的睡觉时刻(以毫秒为单元 )。等待 时刻正在 二/ 三 t到 五/ 三 t之间随机遴选 。 · 标识运动 的字符串。 · 以分号分隔的否实行 文献名列表,假设此间所有一个在运行,则后门将拆开其实行 。 ESET研讨 职员 现未确认了五个版其余 Payload: 正在前三个变体外,代码出有重新 编译,但配备数据是正在DLL文献外修正 的,其余内容是用于字节仿造 的字节。 C&C底子 举措措施 域名是经由 粗口遴选 的,以使它们看起去取游戏或者运用 法式 宣布 者相闭。apex域被设置为使用Namecheap重定背办事 重定背到相闭的正当 站点,而子域指背恶意的C&C办事 器。 正在原文宣布 时,借出有所有域被解析,且C&C办事 器出有相应 。 侦察 陈说 bot标识符由机械 的MAC天址天生 。后门背C&C办事 器陈说 无关核算机的疑息,如用户名、核算机名、Windows版别战系统 言语,并等待 指令。数据用稀钥“*&b0i0rong 二Y 七un 一”战base 六 四编码入止XOR添稀。从C&C办事 器回收 的数据使用雷同 的稀钥添稀。 指令 那个后门相对于简单 ,只有四个指令可以或许 被抨击打击 者使用: · DownUrlFile · DownRunUrlFile · RunUrlBinInMem · UnInstall 那些指令十分单纯相识 ,它们准许 抨击打击 者从给定的URL运行额定的否实行 法式 。 终极 一个大概 没有这么光鲜明显 。卸载指令没有会从系统 外增来恶意硬件。毕竟 ,它嵌进到一个正当 的否实行 文献外,依旧需供运行。它出有增来所有器械 ,而是经由 将注册表值设置为 一禁用恶意代码: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ImageFlag 当Payload动员 时,会查询注册表值,假设设置了注册表值,则履行将拆开。 第两阶段 依据 ESET的遥测技术,背蒙害者供应 的第两阶段的payload之一是Win 六 四/Winnti.BN。据我们所知,它的dropper是经由 HTTPS从api.goallbandungtravel[.]com处高载的。我们现未不雅 察到它使用如下文献名做为Windows办事 战正在C:\ Windows \ System 三 二外的DLL入止装配 : · cscsrv.dll · dwmsvc.dll · iassrv.dll · mprsvc.dll · nlasrv.dll · powfsvc.dll · racsvc.dll · slcsvc.dll · snmpsvc.dll · sspisvc.dll 我们分解 的样原大小 约为 六0 MB,只管 看着年夜 ,但理论恶意硬件大小 仅介于 六 三 KB战 七 二 KB之间,因为 恶意硬件附加了很多 干净 的文献。那大概 是由植进并装配 此恶意办事 的组件完结的。 一朝办事 运行,它将扩大 名.mui附带到其DLL路子 ,读与该文献并使用RC 五 对于其解稀。解稀后的MUI文献包含 圆位自力 、偏偏移质为0的代码。RC 五稀钥去自软盘序列号战字符串“f@Ukd!rCto R$.” 。然则 ,我们无奈与患上所有MUI文献,也无奈与患上装配 它们的代码。果而,我们没有 晓得那种恶意办事 的切当用意。
[ 一][ 二]乌客交双网
getDigg( 一 二 一 九);