360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器Win 10 蓝屏与流氓捆绑罪魁祸首:小易木马
- 2021-03-04 15:15:36
一、概述
近期,360安全大脑监测到一类导致蓝屏的驱动木马现身网络,该木马以不正规网站的免费软件下载器作为载体,诱导用户下载安装后入侵用户电脑,篡改浏览器首页,捆绑安装流氓软件,窃取用户机器信息,并导致win10机器触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。
鉴于此类下载器会同时捆绑安装“小易记事本”等流氓软件,并在驱动木马中操作小易记事本相关注册表(Enotepad),故将其命名为“小易木马”。
360安全卫士可即时对“小易木马”进行拦截和查杀。
二、驱动木马功能分析
1.首页篡改与Win 10 蓝屏触发
此类下载器会释放安装恶意驱动,该驱动木马早期版本篡改浏览器首页为hxxps://www.2345.com/?39403等地址。
同时,该恶意驱动还会导致win10系统触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木马加载运行后在内存中暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本还有一个模块加载回调LoadImage)驻留在内存中,这两点都会触发win10 PatchGuard内核保护机制导致蓝屏。
木马回调触发PatchGuard内核保护引起蓝屏
2.暴力断链隐藏模块
该驱动木马通过操作内核模块ldr双向链表,将自己的驱动模块从双向链表中移除,并将自身驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。
3.劫持文件系统隐藏文件
该驱动木马通过劫持文件系统,来过滤文件请求操作,从而达到隐藏自己驱动文件的目的。
木马会对IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION这三种类型的IRP进行过滤;
其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防删除保护,处理IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程负责文件隐藏保护。
例如对于IRP_MJ_CREATE类型IRP的处理中,会判断文件操作的目标是否命中驱动木马文件,如果命中则返回STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示:
4.注册回调挂钩函数保护注册表
木马的注册表回调用于保护其驱动对应注册表不被删改,对于低版本的系统,木马还会挂钩系统GetCellRoutine函数来保护自身注册表。
其注册表回调的过滤方式是:如果打开和枚举操作的线程不是木马自己的线程,并且目标注册表键,命中木马自己自身注册表键,则拒绝访问。
并且对于win7及其之前的系统,则以硬编码方式获取GetCellRoutine函数地址,并挂钩该函数,以保护自己的注册表。
在挂钩函数中,木马判断如果注册表的操作线程不是木马自己的线程,则进行过滤操作:木马判断操作的目标注册表节点是否命中自己的注册表节点,如果命中的话,则返回空数据以隐藏自己。
同时,木马在注册表回调中判断自己的GetCellRoutine函数钩子是否被移除,如果被移除的话,则再次进行挂钩。
5.内核dll注入explorer
在该木马的旧期版本中,还有通过模块加载回调patch ZwTestAlert系统函数,将木马DLL注入到explorer进程的功能。
其详细过程为:木马通过LoadImage模块加载回调,过滤explorer进程对ntdll模块的加载,挂钩ntdll加载过程中调用到的ZwTestAlert函数,即patch ZwTestAlert函数的前5个字节,从而跳转到explorer进程空间内木马写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木马dll,以完成对explorer进程的dll注入。
模块加载回调中判断explorer进程加载ntdll模块:
获取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函数地址,分别用于:修改explorer进程内存属性写入shellcode;shellcode中通过LdrLoadDll函数地址加载木马dll;挂钩ZwTestAlert函数patch前5字节构建相对跳转指令作为跳板,调用到shellcode.
6.受害者信息回传与后门常驻
该木马驱动加载后,会向木马C&C服务器回传统计受害者用户基本信息,并以此驱动作为入侵受害者机器的基石,进一步榨取受害者机器剩余价值,例如可能通过木马服务器,进一步捆绑安装狗皮膏药类的流氓软件等。
三、安全建议
打着“免费”激活,“免费”软件等的旗号,行病毒木马,流氓软件之事的案例屡见不鲜。360安全卫士可对此类木马进行拦截和查杀,推荐广大用户通过360软件管家下载安装正规软件。
希望广大用户不要抱有侥幸等心理,无视360安全卫士的网址拦截与木马运行拦截预警,开启360安全卫士的常驻保护,警惕360安全卫士拦截的危险行为。已中毒用户亦可下载安装360安全卫士以及360系统急救箱进行木马查杀。(http://www.360.cn,http://weishi.360.cn/jijiuxiang/index.html)
京公网安备 11000002000006号