专栏丨大东话安全之“吮”

2018年5月4日 205点热度 0人点赞 0条评论

编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。


一、谶曰


生物课本:寄生是指一种生物生于另一种生物的体内或体表,并从后者摄取养分以维持生活的现象。


东哥:恶意代码隐藏在脚本文件中,利用 AutoIt 解释器调用自身。


小白:揪出这条寄生脚本!


二、病毒通缉令


图片


小白:喔~今天是神奇的魔术先生~~你举手~你抬头~你说选我选我~~


大东:AutoIt 可不是什么魔术先生,更不会给你变钞票。


小白:啥?Au 什么 t?


大东:它是一种使用 AutoIt 编写的蠕虫程序,样本运行后会将自身复制到系统目录下,是自身随机启动,修改注册表键值,禁用任务管理器,会对目标地址的计算机系统不断发送病毒数据包,并试图利用局域网进行传播。

小白:原来又是蠕虫啊……

三、寄生虫病毒

小白:大东东,这个 AutoIt 是啥呀?

大东:AutoIt 其实是一个自动化的 Windows 界面交互的脚本语言,使用灵活,容易学习。而 AutoIt 解释器属于合法程序,使得黑客可以把恶意代码藏在脚本文件中,从而灵活地创建恶意软件。

小白:喔~又是一个被坏人利用的好东西!

大东:AutoIt 蠕虫的样本颇多,我给你举个例子吧。

小白:瓜子板凳儿就位~

  • 暗藏神秘照片

大东:那咱就讲这个样本:[AutoIt3.exe] 71D8F6D5DC35517275BC38EBCC815F9F,[googleupdate.a3x] E58C5E3F461089CA9688D3ACA204EA70。

小白:@#%¥……%¥&*)#¥……这什么东西啊?

大东:这样本信息,你可以忽略不看。

小白:还没开讲就晕了。

大东:别急~AutoIt3.exe 是 AutoIt 脚本解释器,它带有正规数字签名。真正的病毒体其实是 googleupdate.a3x。

图片

AutoIt3.exe数字签名

小白:听起来像是 AutoIt3.exe 身上的寄生虫。

大东:样本执行时,依靠 AutoIt3.exe 调用 googleupdate.a3x 脚本,以此执行其中的恶意代码。

小白:恶意代码长啥样?

大东:喏,大概长这样。

图片

脚本中的恶意代码

如果你在网上搜索代码中的“ C:\Google\ googleupdate.a3x ”,可以找到不少中招用户的反馈。

图片

中招用户的反馈

像这位用户,就是在使用杀毒软件清理 AutoIt 木马脚本后,电脑中仍残留文件,所以开机时就会弹出这个错误框。

小白:搜嘎~

大东:互联网安全分享网站 Freebuf 上有好奇宝宝对样本代码进行了分析。代码总共接近3300行,前约1300行像是复制了一个通用代码,里面有大量的常量的声明,封装了大量的微软操作系统相关的函数,并定义了大量的字符串、数组操作函数,甚至有限制鼠标活动范围的函数。

小白:为接下来的搞事儿做准备吗?

大东:其实,这些预定义好的常量和函数在后面代码中用到的很少。可能是出于作者习惯,所以每个脚本都要带上这段通用代码方便随时调用。

小白:黑客也懒癌……

大东:代码中间1582行是在拼一个很大的变量,其内容用 base64 编码过。

图片

编码后的变量

图片

变量解码后

图片

变量储存的小帅哥照片

有趣的是,解开之后的变量是一个不明身份的小帅哥照片。从照片信息能看出,这张照片是用三星手机拍摄的,并经过 PS 处理,但没找到其他有用的信息,我们无法推断这人是谁……并且病毒执行后也没有调用这段数据,完全是一段垃圾数据。

小白:嗯,这颜值跟我有得一拼~

大东:得了吧你。

小白:嘿嘿~

  • 自启、感染、远程控制一条龙

大东:总共3300行代码中,只有最后的400行是真正的病毒代码。这部分代码主要做了四部分的工作:

  • 检查自身运行环境

  • 创建开机自启动

  • 感染全部磁盘

  • 驻留内存并与服务器通信实现远程控制

小白:什么?!我电脑都这么卡了它还想开机自启动?!!

大东:开机自启是个挺常见的病毒感染症状,此样本的手法也比较常规,就是写注册表的 run 项,并向“启动”目录添加快捷方式。

小白:除了这个,感染全部磁盘也很讨厌诶,我的文件啊……

大东:样本会遍历本地磁盘,在每个盘符下作如下操作:

  • 在当前盘符根目录下新建名为“ skype ”的目录,将 autoit3.exe 和病毒脚本复制到该目录下,并设置该目录属性为“只读/系统/隐藏”。

  • 遍历当前盘符根目录下所有文件夹,在每个文件夹下,创建一个与该文件夹同名的快捷方式文件指向 a 步骤中创建的病毒,并将快捷方式图标设置为文件夹图标。

  • 如果当前盘符属性为“ removable ”(最常见的是U盘),则会在盘符根目录下额外创建其他快捷方式,指向 a 步骤中的病毒复制体,并将快捷方式图标设置为文件夹。常见的快捷方式名有:

       mygames

       mypictuers

       myvideos

       hot

       downloads

       movies

小白:看来电脑出现快捷方式就很危险啊。

大东:脚本在完成上述操作之后,会利用一个死循环代码常驻系统内存,并与远端服务器通信实现远程控制。成功后,会先将本地的机器名、用户名、所在国家、系统版本、当前存在的安全软件等信发送出去。然后等待远端指令进行进一步操作。接受的其他指令。

小白:其他指令是啥指令?

大东:就是以下这些了。

图片

AutoIt 病毒远程控制指令

小白:大东东,那我要是被 AutoIt 缠上了,我的电脑有啥症状没有?

大东:如果你使用浏览器打开新主页时会出现广告和弹窗,甚至出现在桌面,那么你的电脑可能就中招了。其他的,网页加载速度变慢,电脑反应速度变慢,也存在中招几率。

小白:我的天!那我岂不是……

大东:你的电脑慢也可能是它老化啦。只要平常安全上网,不瞎开网页瞎下东西,何况你的电脑还有装了防护软件,定时进行全盘查杀,就没那么脆弱。

小白:呼~还好还好~

四、小白内心说


小白:这个其实是个被坏人利用的好蠕虫。

大东:怎么了?

小白:我立志要改变他!

大东:哇,这个志向不错。

小白:你以为。(得意)

大东:那你首先得好好学习了。

小白:那必须的。

大东:你还是先把你电脑上的病毒杀了吧。

小白:哎呀,差点忘了。

大东:哈哈(⊙o⊙)…

五、话说漫威

大东:小白,听过九头蛇吗?

小白:神话故事里的那个?

大东:我想说的不是,九头蛇(HYDRA)是漫威世界的超级反派组织,其标志为骷髅头与下方的蛇足。

小白:他们做啥的?

大东:九头蛇的口号是“砍掉一个头,再长出两个头取而代之”,与神话的海德拉形象契合,且以其无穷无尽的杂兵而实现这一个口号。

小白:噫~有点恶心!

大东:在现代,它是一种使用 AutoIt 编写的蠕虫程序,样本运行后会将自身复制到系统目录下,是自身随机启动,修改注册表键值,禁用任务管理器,会对目标地址的计算机系统不断发送病毒数据包,并试图利用局域网进行传播。

小白:在大东东的故事里,都进化了啊!

图片

九头蛇

来源:中国科学院计算技术研究所


图片

52060专栏丨大东话安全之“吮”

这个人很懒,什么都没留下

文章评论