首页 > 安全资讯 > 正文

Win 10 蓝屏与流氓捆绑罪魁祸首:小易木马

一、概述

近期,360安全大脑监测到一类导致蓝屏的驱动木马现身网络,该木马以不正规网站的免费软件下载器作为载体,诱导用户下载安装后入侵用户电脑,篡改浏览器首页,捆绑安装流氓软件,窃取用户机器信息,并导致win10机器触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。

鉴于此类下载器会同时捆绑安装“小易记事本”等流氓软件,并在驱动木马中操作小易记事本相关注册表(Enotepad),故将其命名为“小易木马”。

360安全卫士可即时对“小易木马”进行拦截和查杀。

二、驱动木马功能分析

1.首页篡改与Win 10 蓝屏触发

此类下载器会释放安装恶意驱动,该驱动木马早期版本篡改浏览器首页为hxxps://www.2345.com/?39403等地址。

同时,该恶意驱动还会导致win10系统触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木马加载运行后在内存中暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本还有一个模块加载回调LoadImage)驻留在内存中,这两点都会触发win10 PatchGuard内核保护机制导致蓝屏。


木马回调触发PatchGuard内核保护引起蓝屏

2.暴力断链隐藏模块

该驱动木马通过操作内核模块ldr双向链表,将自己的驱动模块从双向链表中移除,并将自身驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。


3.劫持文件系统隐藏文件

该驱动木马通过劫持文件系统,来过滤文件请求操作,从而达到隐藏自己驱动文件的目的。

木马会对IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION这三种类型的IRP进行过滤;

其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防删除保护,处理IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程负责文件隐藏保护。

例如对于IRP_MJ_CREATE类型IRP的处理中,会判断文件操作的目标是否命中驱动木马文件,如果命中则返回STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示:


4.注册回调挂钩函数保护注册表

木马的注册表回调用于保护其驱动对应注册表不被删改,对于低版本的系统,木马还会挂钩系统GetCellRoutine函数来保护自身注册表。

其注册表回调的过滤方式是:如果打开和枚举操作的线程不是木马自己的线程,并且目标注册表键,命中木马自己自身注册表键,则拒绝访问。

并且对于win7及其之前的系统,则以硬编码方式获取GetCellRoutine函数地址,并挂钩该函数,以保护自己的注册表。

在挂钩函数中,木马判断如果注册表的操作线程不是木马自己的线程,则进行过滤操作:木马判断操作的目标注册表节点是否命中自己的注册表节点,如果命中的话,则返回空数据以隐藏自己。

同时,木马在注册表回调中判断自己的GetCellRoutine函数钩子是否被移除,如果被移除的话,则再次进行挂钩。


5.内核dll注入explorer

在该木马的旧期版本中,还有通过模块加载回调patch ZwTestAlert系统函数,将木马DLL注入到explorer进程的功能。

其详细过程为:木马通过LoadImage模块加载回调,过滤explorer进程对ntdll模块的加载,挂钩ntdll加载过程中调用到的ZwTestAlert函数,即patch ZwTestAlert函数的前5个字节,从而跳转到explorer进程空间内木马写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木马dll,以完成对explorer进程的dll注入。

模块加载回调中判断explorer进程加载ntdll模块:

获取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函数地址,分别用于:修改explorer进程内存属性写入shellcode;shellcode中通过LdrLoadDll函数地址加载木马dll;挂钩ZwTestAlert函数patch前5字节构建相对跳转指令作为跳板,调用到shellcode.

6.受害者信息回传与后门常驻

该木马驱动加载后,会向木马C&C服务器回传统计受害者用户基本信息,并以此驱动作为入侵受害者机器的基石,进一步榨取受害者机器剩余价值,例如可能通过木马服务器,进一步捆绑安装狗皮膏药类的流氓软件等。

三、安全建议

打着“免费”激活,“免费”软件等的旗号,行病毒木马,流氓软件之事的案例屡见不鲜。360安全卫士可对此类木马进行拦截和查杀,推荐广大用户通过360软件管家下载安装正规软件。

希望广大用户不要抱有侥幸等心理,无视360安全卫士的网址拦截与木马运行拦截预警,开启360安全卫士的常驻保护,警惕360安全卫士拦截的危险行为。已中毒用户亦可下载安装360安全卫士以及360系统急救箱进行木马查杀。(http://www.360.cnhttp://weishi.360.cn/jijiuxiang/index.html

360安全卫士

热点排行

用户
反馈
返回
顶部