本文讲的是白利用的集大成者:新型远控木马上演移形换影大法,经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。
其实,将快捷方式作为木马启动跳板的做法本来并不新鲜,有趣的其实是快捷方式指向的程序:
截图无法完整展示启动参数,我们把启动参数列出来:
C:WindowsSystem32rundll32.exe C:Windowssystem32url.dll, FileProtocolHandler "~1QQ.exe"
第一层是系统的rundll32.exe,功能就是加载并执行一个动态链接库文件(dll)的指定函数。而有趣的就是这个被加载的动态链接库文件和指定函数——url.dll的FileProtocolHandler函数。
从文件名不难看出,这其实是一个网络相关的库文件——准确地说,这是一个IE浏览器的扩展组件(Internet Shortcut Shell Extension DLL):
而所调用的函数,却是用来执行本地程序的函数——FileProtocolHandler。实际上该函数所返回的,就是调用ShellExecute函数执行指定程序后的执行结果:
而真正的木马,则是在第三层的参数“~1QQ.exe”。到此为止,看似是通过了2层的正常程序,跳转到了一个木马程序。其实不然——这个QQ.exe也是一个正常程序:
虽然名字是QQ.exe,但其实是网易云音乐——签名正常。而木马就是利用了该程序去调用一个假的cloudmusic.dll,并执行它的CloudMusicMain函数:
当这个假的cloudmusic.dll的CloudMusicMain函数被调用的时候,木马会首先生成CertMgrx.exe和xxxx.cer两个文件:
完成后,调用生成的certmgrx.exe将xxxx.cer加入到系统信任证书的列表中——这样一来,假cloudmusic.dll所带的假签名也摇身一变成为“真签名”了
完成这一步后,由于假签名所依赖的假证书已经生效,便可以有恃无恐地进行后续动作——向当前目录下的temp文件夹里释放新的木马文件:
与之前木马结构类似TEST1.exe依然是网易云音乐的主程序,而新的cloudmusic.dll则是真正的木马本体。
木马本身并没有太多新意,故此也不再赘述。该木马的特点就体现在FileProtocolHandler函数的利用上,多一层的系统文件的跳转让许多主动防御类安全软件难以追踪和识别,再加上本身利用网易白程序和导入假证书的手法,多种白利用手段相结合,确实会让市面上许多安全软件哑火。
原文发布时间为:2017年6月23日
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。