走近了解,隐私大盗“Bigben”

阅读量253424

|评论5

发布时间 : 2018-06-20 18:08:13

0x1 背景

近日,360核心安全团队截获到一种隐藏在流氓推广中的隐私大盗,此类病毒有着正常的签名信息,伪装为其他软件压缩包的图标,在进行流氓推广的同时还收集了大量用户隐私数据。在5月欧盟刚刚颁布称为最严的数据保护条例GDPR的情况下,此病毒也算是无视法规,专踩雷区。

为了躲避取证和查杀,此类病毒大量使用了ShellCode和隐蔽加载技术,如果仅仅用作流氓推广,可谓是“高射炮打蚊子,大材小用”,经过安全专家进一步分析发现,该病毒通过各种绕路后,插入浏览器的恶意代码可以轻松获取各种账号和cookie信息,即便是https加密的网站也难逃此劫,严重威胁到用户的隐私安全。

由于该类软件都是通过一个名为“Bigben”的开关来控制恶意行为,因此安全专家将此类家族命名为“Bigben”家族,下面让我们一起走进“Bigben”病毒家族,了解一下病毒具体特征。

 

0x2 特征

“Bigben”病毒家族在文件图标、文件名和文件签名这三个方面有着显著的特征。

1)图标特征

病毒家族自被发现以来,均将自身图标伪装成压缩包文档,如下所示,在XP之后的系统上,应用图标上会有一个管理员运行标志。

图标特征 (WindowsXP后)

2)文件名特征

“Bigben”病毒家族伪装的文件名有两种方式:

  • 一种是由小写字母和数字组成的12位的随机名称,如h9duugze1n6a
  • 一种是伪装成第三方软件名称,其格式为“【第三方软件名称】_xxx-xxx___”,如sony_vegas_pro_13-32_1da-869___

伪装名称

伪装名称

minecraft_0_12_1_build11_555-a98___.exe

5fmtcyl8ugf7.exe

sommand-sonquer-generals_pirate_297-8f2___.exe

ixlnfyafoirv.exe

cheatengine67_246-150___.exe

rzgu8f2qnvw8.exe

3)签名特征

“Bigben”家族都携带了完整的文件签名信息,其签名均是国外公司签名,其中以“OOO”类有限责任公司和”LLC”类有限责任公司为主,以下为部分使用过的签名名称。

常用签名名称

常用签名名称

LADA, OOO

STIRKA, LLC

RODIS-K OOO

Gross LLC

MEDIDO OOO

VIK-TORI LLC

INTELLEKT, OOO

Sundus, LLC

OBUV OOO

LEILA BIS, LLC

OOO, INTELLEKT

SOFT EKSPERT LLC

OOO, GROK

Dort LLC

OOO YULIYA

LYUDMILA LLC

OOO. LOGOF TOV LEILA BIS
OOO “Stroy Info Tehno” TOV “RED TABURET”
TOV. PRODUKTY

LLC. PRO-STO

TOV, I T S

LLC KOL-TORG

TOV. PRO-STO

LLC INDOMEDI

KRASTER TOV

LLC, Kol-Torg

KROK-AVTO, TOV

LLC LYUDMILA

KENDI MASTER, TOV

LLC, Myaso

GROSS

FORTUNA PARTNERS, LTD

LTD Dba Motors

DBA MOTORS LTD

 

0x3 行为分析

“Bigben”病毒家族的主要恶意行为有流氓推广和窃取用户隐私数据,两种恶意行为都受云端控制,代码逻辑包含各种环境检测和判断,普通沙箱难以检出其恶意行为。

简化的执行流程如下图所示:

“Bigben”病毒执行流程

“Bigben”的执行流程主要分为两大部分:预处理部分和恶意操作部分

1)预处理部分

包括释放Shellcode,内存加载模块以及同云端交互三部分:

释放Shellcode

“Bigben”在入口代码中混淆了无关代码,来干扰分析,如下图所示。

从模块基地址的偏移0x2055A处读取长度为0x1926的Shellcode,并解密执行。

Shellcode内存加载恶意PE

在Shellcode中,从模块的三个不同位置读取出PE数据,拼接上并解密。

 然后内存加载该恶意模块,该模块是“Bigben”的执行主体。

在模块基地址偏移0xE0处写入解密后的远程服务器地址,该地址将被内存加载的PE使用。

 “Bigben”除了使用GetTickCount的方式来检测反调试之外,还是用VirtualProtect和异常处理方式来改变程序执行流程,增加分析难度。

云端交互

“Bigben”与C&C服务器先后进行两次交互,网络数据均采用加密方式。

在第一次网络交互中,Bigben从上述URL中获取的是一个JSON数据,其中包括了浏览器将要打开的推广网址(url),需要搜集的用户信息类型(checks),伪装的下载文件名称(name),解密后的JSON数据如下图。

第二次网络交互会将收集的系统信息POST给C&C服务器,其中包含了用户系统的各种信息,如下图。

同时从C&C服务器获得云控数据,用于控制“Bigben”行为,如下图所示。

当“Bigben”为1的时候,“Bigben”使用默认浏览器打开第一次网络交互中获得的url(http://mentalaware.gdn/Readme.txt)并自删除。

当“Bigben”为0的时候,“Bigben”才会触发其他恶意操作,伪造下载软件(discord vigilante-1-c5-a26.zip)的界面,该下载界面是“Bigben”自绘的,其实并无网络操作,然后再继续进行软件推广,窃取网站账户信息等恶意操作,如下图。

2) 恶意操作部分

包括窃取网站Cookie,流氓推广以及锁定浏览器主页。

窃取网站Cookie

该恶意模块的主要执行流程如下:

窃取Cookie模块执行流程

通过使用第三方驱动NetFilterSDK来篡改HTTP和HTTPS协议,在网页中注入恶意的JS脚本来达到窃取网站Cookie的目的,此种窃取Cookie的行为是无针对性的,用户浏览过的所有网页都会被注入恶意脚本,效果如下图所示。

其中插入的JS代码由云端的rules.xml控制。

真正的窃取Cookie的恶意脚本隐藏在两次<script>间接调用中,将用户浏览网站的Cookie等信息上传至http://snap.contentssl.com/f/stats.php

 

同时该模块也会添加计划任务,每天该时刻启动自身。

流氓推广

Bigben”在获取云控信息后,下载指定的恶意推广包,然后静默安装,同时会复制出多个自身,通过携带不同的参数,分别进行IE主页锁定,篡改默认浏览器设置等,执行完毕之后,会执行自删除,如下所示。

 

自删除

“Bigben”在执行完上述恶意操作后,会通过获取文件资源管理器explorer.exe的pid,得到其token,然后使用CreateProcessAsUser的方式,伪造成explorer.exe打开cmd.exe来进行自删除操作。

0x4 相关信息

  1. MD5信息

MD5

MD5

014CAD587EEA1133F37E9A05916E4610

05EDA4CFE7FCFA91F9D08F03F4E3C3B1

0E9B255496417326710C14AFB7B35ED3

10DFEF14FACD08DA050E34533A6D8225

11139E0B69044FFD463C440F5C7BB71F

15DAE8AAB3FB169BA2D7BE97337AA6A2

17D9454EC633168DE6DAD84D941ED1E3

21B123A4A580B7476823BDE1E5BB322E

353F0FCE5289B4796928A498284FB15B

38D90F1D20700473D2A4A4CEB5BF7502

39CB2170DD2C4F3DA000D464DE539750

3900951EFDE57EC00329D55EA0871AFB

3A5A6C18BE16813AF7626D92A30B672D

3DC6B647E187B7A1D5305FD8664643FC

402721A8CBD6FE09DD5D1302CADFF471

408697668956E57FD10DBB7349AB4EFC

4441705847710738DB2245BECA02E225

4697693EC3A4AA50F1EE6882AC759744

47185F85A0F97D03F4E38946B49778C5

582D601875030AFC132EEAB8FBFA52D4

4E13310E25BF4145AD9EDD72EFE754BC

5802856BD203F44614D5E6B4D1805874

50C218DFCD8F6ABC10AE028B3FE78737

5ACA96D9AEF92D0FF2F85E1C1B8C08B6

561D329D14BA923882BD9D3D7C7C9972

DD6F8263D7FDF385DC76CFBE1338F3A2

716FC4910CDA1DA42C60327AAAFA4B80

DF2B371ABC77F08BF81798AF9612B4E6

735588F199A86F273A7B3263E9D620F1

F25AA53AF7785C0494253E0F387F7BDF

C15504CCFBE99664046E9CE6CEC942A2

FD9EFE94B35DDA44355EBAC67D8F0BB9

BC25ADECC3C927CEA823BB185D14B607

FFA61FF3BAE5889412A2EC762BF39CBC

A34C6F0B6108C8CF49CAA7E45D6C9328

FF158CEAA4C5BBB834360FAD4B8C5D4E

  1. C&C服务器信息

C&C地址

C&C地址

zircfzahvlii.ginanklesquare.ru 0b2.ru
g.azmagis.ru

njupire.ru

g.embokhay.ru

delightsquad.ru

g.misterbush.ru

quicklygood.gdn

adblocks.ru

s.kometa-stat.ru

kometa-stat.ru

kometa-update.ru

cdn.kometa-bin.ru

cdn.kometa-bin.ru

tkcdoglnstdpwei.sightlogfight.ru

husbandcandleru-vqw2fylh.stackpathdns.com

 

0x5 专家建议

目前,360全线产品已经在第一时间对“Bigben”家族进行查杀,能够及时保障用户的系统和隐私安全。除此之外,360安全专家还向广大用户给出以下建议:

  1. 请开启系统关于显示文件后缀名的选项,来判断文件的真正类型,以免被伪装成文档类的恶意软件欺骗。
  2. 请去官网下载相应的软件,减少软件被非法篡改的风险。
  3. 请不要轻易对可疑软件放行并添加信任。
  4. 如果发现系统出现异常,变得响应卡顿,或被安装莫名的推广软件等,怀疑是否已经中招,请及时使用360安全软件进行全盘扫描检查。

 

审核人:yiwang   编辑:边边

本文由360成都安全响应中心原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/148688

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360成都安全响应中心
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66