内容简介:近期,金山毒霸安全实验室通过“捕风”威胁感知系统的数据监控,发现一款名为“西瓜看图”的恶意软件。该软件主要通过“荒野行动电脑版”、“抖音电脑版”等虚假下载器进行传播。该虚假器运行后,实际安装的是“蜻蜓助手”安卓模拟器,并由“蜻蜓助手”推广安装“西瓜看图”木马远控软件。该软件通过云控手段,进行主页劫持、图标推广、软件推广、广告弹窗等恶意行为。由于该木马会在用户磁盘中创建“Mint”的目录,保存云控插件,所以我们特此命名为“Mint”木马。Mint木马的传播路径:
0×1 前言
近期,金山毒霸安全实验室通过“捕风”威胁感知系统的数据监控,发现一款名为“西瓜看图”的恶意软件。该软件主要通过“荒野行动电脑版”、“抖音电脑版”等虚假下载器进行传播。该虚假器运行后,实际安装的是“蜻蜓助手”安卓模拟器,并由“蜻蜓助手”推广安装“西瓜看图”木马远控软件。该软件通过云控手段,进行主页劫持、图标推广、软件推广、广告弹窗等恶意行为。由于该木马会在用户磁盘中创建“Mint”的目录,保存云控插件,所以我们特此命名为“Mint”木马。
0×2 传播和推广
Mint木马的传播路径:
虚假下载器运行界面:
该虚假下载器无签名,无版本信息,点击“立即安装”会下载运行“蜻蜓助手”,而不是用户预想的“荒野行动网易版”。
“蜻蜓助手”安装完毕后,会默认勾选“西瓜看图”(Mint木马家族的母体),用户如稍有不慎点击“立即启动”就会被植入木马软件。
0×3 模块和流程
功能模块
Mint 云控木马主要为6个功能:信息收集,广告弹窗,软件推广,图标推广,主页劫持,更新变异。
其中,广告弹窗,软件推广,图标推广和主页劫持的具体内容,均由云端进行配置,通过下发文件的形式,在本地解析执行;
更新变异,则保证云控载体不断更新和变形,以躲避杀软查杀和更新功能。
功能模块图:
信息收集,主页劫持,广告等相关URL信息:
执行流程
Mint木马利用傀儡进程注入、BHO机制(参考 https://en.wikipedia.org/wiki/Browser_Helper_Object )、UPX加壳、数据加密、服务劫持等技术,使整个执行过程具有很高的隐蔽性。
执行流程:
0×4 影响和分布
通过“捕风”威胁感知系统的监控到,Mint木马家族8月中旬开始爆发;9月中旬活跃达到峰值,感染用户量达5W/天;10月之后活跃降低,近期又逐渐活跃起来。
受感染的用户中,占比最多的是1123变种(71.23%),其次是1122变种(17.11%)
(因为变种众多,为了方便起见,我们暂且用文件名后面的版本号表示变种名称。如url包含的文件名XiGuaViewer_1123.exe,表示1123变种)
变种分布图:
0×5 细节分析
环境检测
Mint母体通过注册表、文件和进程关系,检测是否沙箱/虚拟机/调试/杀软环境,是否浏览器或下载器启动;不是的话才执行恶意代码,否则只调起安装界面。
沙箱/虚拟机环境检测:
调试 工具 和安全监控软件的检测名单:
配置下拉
云控载体解密模块配置文件Ver.ini:
获取到解密后的内容:
整理出模块配置文件Ver.ini各字段的含义如下:
接着云控载体进行字段解析并更新插件模块和推广配置文件,将核心模块core.dat解密并注入到傀儡进程中执行:
核心模块core.dat会解密推广配置文件settings.xml,并执行相应的推广劫持操作:
更新变异
云控载体从模块配置文件Ver.ini中获取最新载体的下载地址( http://down.om *******.com/Lsvr.dat),保存为PsLangue.dat,然后解密还原成PE文件,复制到系统目录下,随机命名,并通过劫持wuauserv系统服务的方式,实现自更新和启动。
主页劫持
(1)首先,Mint母体(“西瓜看图”)下载 http://plg. *******.com/plg.dat,并执行;plg.dat 从资源中释放两个dll(分别是32位和64位),用regsvr32.exe注册dll文件。
通过BHO机制劫持IE浏览器主页为 http://uee.me/q8gn (跳转后最终为2345网址导航)。
(2)其次,在core.dat核心功能模块中,通过修改注册表的方式篡改用户主页:
settings.xml中篡改页的配置信息:
图标推广
settings.xml中图标推广的配置信息:
广告弹窗
settings.xml中广告弹窗的配置信息:
软件推广
settings.xml中软件推广的部分配置信息:
我们发现,在配置文件中,主页篡改、图标推广、广告弹窗和软件推广,除规避“北上深广”一线城市外,还规避了昆山和马鞍山。
其他
由于Mint木马家族变种繁多,部分云控模块已停用,且由于篇幅和时间所限,这就不多啰嗦啦。
0×6 安全建议
不安装来源不明的可疑软件;
默认勾选框千万千万千万要小心;
安装杀毒防护软件并开启主防功能;
定时查杀和更新系统。
附录IOC
087E97C0A106A4184E61E743664F8764
9FFA36F6B4F2690490851E25390A07B8
0BA931AE318DC6F02D1D660D6A2202AE
7AC1413CC61E997C4FF65E7262D3D173
F9BA5281CF00E096B608C1825C1D60CC
73192ADE5AA1569BE1FD5A9C4758003A
98A9C4A108E10E758861600EB1F6F511
D4667E997D50A4DFECBF2C9E4884E435
9486BBBF6A9DE9CF2BE8C75347AE32F9
35BE3B8495074A4CBAE724572FA90ED4
31C3581C6094E043F4D2492D09997717
1DCBB119B1BA07F7718E9E31D014C817
B493D07BF7857E4851356016DAD13BCA
439EE7F2493D7B453442AC31AA3C5DCD
16181EA5452F547430E1426AE9027D04
http://down.tw******.cn/XiGuaViewer_1121.exe
http://down.vx******.com/XGViewer_1093.exe
http://down.wi******.com/XiGuaViewer_1133.exe
http://mo.******.net/mo/setup.cr173.386472.exe
http://coll.******.com:9804/supp.aspx
http://cfg.******.com/config.ini
http://down.om******.com/Lcore.dat
http://down.om******.com/Hcore.dat
http://down.om******.com/Lsvr.dat
http://down.om******.com/Hsvr.dat
http://down.um******.com/Discontor32.xml
http://down.um******.com/Discontor64.xml
http://plg.******.com/PopNews.dat
参考链接
BHO: https://en.wikipedia.org/wiki/Browser_Helper_Object
*本文作者:安全豹,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《Mint木马变种泛滥,伪装“抖音电脑版”肆虐网络》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 曲速未来 :勒索病毒的肆虐蔓延
- 幽灵病毒肆虐矿场 矿工每小时损失2000元
- 勒索病毒肆虐 黑客口中的比特币是什么
- 网络犯罪的五大新趋势:零日漏洞继续肆虐
- 黑客肆虐,资产被盗,区块链App如何谈安全?
- 新的 Linux 后门开始肆虐,主要攻击中国服务器
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Beginning ASP.NET 4 in C# and Vb
Imar Spaanjaars / Wrox / 2010-3-19 / GBP 29.99
This book is for anyone who wants to learn how to build rich and interactive web sites that run on the Microsoft platform. With the knowledge you gain from this book, you create a great foundation to ......一起来看看 《Beginning ASP.NET 4 in C# and Vb》 这本书的介绍吧!
