引言
“隐魂”病毒携带的病毒模块主要利用自定义的NE、NS文件格式的动态库,通过系统进程作为傀儡进程,利用各种注入技术将动态库注入系统进程进行执行。这种病毒一旦运行,就难以通过主动防御来拦截其后续行为。该病毒还采用多种网络协议进行传播和更新,如sstp、sltp等,挖矿协议则采用stratum+ssl加密协议,以躲避安全软件的检测。
“隐魂”采用了经典的BootKit三层架构,从感染到启动涉及应用层、内核、引导区三个层面,涵盖了磁盘、网络、操作系统等多方面的知识,且每一层之间的衔接都处理得恰到好处。
最近我们发现,“隐魂”开始利用“永恒之蓝”漏洞进行大肆传播。最初,“隐魂”是通过播放器进行传播的,而在近期,最新的隐魂变种新增了永恒之蓝的漏洞利用模块,在原有的传播基础上增加了内网的横向扩散能力。
感染流程如下:当A安装了携带“隐魂”木马的播放器时就会被感染,然后利用“永恒之蓝”漏洞利用模块攻击与A在同一网段的机器。如果这些机器存在“永恒之蓝”漏洞并被成功入侵,就会被进一步感染。反之,如果有一部分机器已经修复此漏洞或未被成功利用,则不会感染“隐魂”木马。
被隐魂感染的机器A会在本地生成一个WEB服务器,然后通过永恒之蓝漏洞攻击内网机器。漏洞成功利用之后会执行sc.bin,这部分shellcode会通过WEB服务器下载并执行brp.exe,这是感染“隐魂”的引导程序。执行后,会下载core.sdb感染包进一步感染机器B。
“隐魂”木马的引导区感染流程、启动流程、内核Rootkit阶段和应用层“牟利”阶段等都相当复杂。在内核层面,它对抗安全软件、注册关机回调、监控模块加载等;在应用层,它可以通过配置文件随意加载新的病毒模块,如dataspy.api、resetid.api、browser.api、dnshijack.api等,这些模块分别负责盗号、搜索用户配置信息、劫持浏览器主页、DNS流量劫持等。“隐魂”还集成了开源远程控制软件MeshAgent的部分代码,未来可能会用于控制僵尸主机。
总结与建议
“隐魂”木马是迄今为止最为复杂的木马病毒,其背后的团队非常专业。在潜伏近一年后,再次利用病毒兴风作浪。它的隐蔽性很强,查杀难度很高,目前能查杀此类木马的杀毒软件极少。360安全卫士可以查杀此类病毒,并完美修复被病毒篡改的MBR分区。建议中毒的用户下载进行查杀。
参考报告和IoCs已列出,以便用户了解和防范此类病毒。
