转载

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

前不久,思科安全团队披露了一款代号为Rombertik的病毒,它的主要危害是窃取Chrome、Firefox和IE浏览器上输入的文本信息,并采用超级复杂的指令和垃圾代码对抗安全研究人员的分析。一旦Rombertik发现有人正在对它进行分析,就会“自杀式袭击”破坏MBR(磁盘主引导区),使系统无法正常启动;如果篡改MBR失败,它还会加密破坏电脑上的文件。”

样本MD5: F504EF6E9A269E354DE802872DC5E209

打开“Procmon.exe”监视一下行为

创建文件:

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

自启动项是“fgf.vbs”,“fgf.vbs”调用“yfoye.bat”,“yfoye.bat”调用“yfoye.exe”。

创建进程:

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

看到“yfoye.exe”创建了进程“yfoye.exe”。

现在我们强制结束进程“yfoye.exe”。

然后用od载入“yfoye.exe”,下“CreateProcessA”和“CreateProcessW”硬件断点,跑起来。

一会儿断在“CreateProcessW”处。

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

跟踪一下,看程序在做什么,是在用“ZwMapViewOfSection”注入。

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

首先“MapView”到新创建进程“0×400000”处,即“ImageBase”。

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

然后“MapView”到当前进程的堆空间。

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

将一个PE文件Load到当前进程堆空间“0xEA0000”,相当于将PE写入到新创建进程“0×400000”。

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

上图中,数据是从“0xe70000”读取的,

我们dump“0xe70000”处的数据,是一个PE文件:

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

分析dump出来的PE文件

从资源解密出控制域名(www.centozos.org.in):

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

dump出来的PE文件有3个资源。

资源一 ,rsa加密过的数据(明文“www.centozos.org.in”):

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

资源二 ,rsa密钥:

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

资源三

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

注入到不同的浏览器,窃取通信数据

不同的浏览器hook的位置不一样,有6处hook。

Hook一

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

Hook二(Chrome WSA)

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

Hook三(Chrome)

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

Hook四(FireFox)

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

Hook五

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

Hook六(IE)

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

用http“POST”方式跟控制端通信:

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

POST的数据如下:

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

提取可供监测的特征点如下:

“POST” “User-Agent: runscope/0.1” “name=” “&host=” “&browser=” “&post=” 不包含“Referer:”

通过hook“CreateToolhelp32Snapshot”搞破坏。格盘、加密文件,搞破坏的目的其实是为了保护配置文件,防止控制端域名被私自修改。

当“TimeDateStamp!=hash(1006号资源)”触发破坏行为。

所以,之前的报道说是为了“阻碍病毒分析人员分析”的观点是错误的。

分析热门的木马Rombertik:“自毁”是为了防止控制端域名被修改

* 作者/hellotong,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...