暗渡陳倉(cāng)披著圖片外衣的特洛伊木馬

1、暗渡陳倉(cāng)：披著圖片外衣的特洛伊木馬InfoStealer是一種木馬，功能為收集受害計(jì)算機(jī)系統(tǒng)用戶(hù)的敏感信息，并將其轉(zhuǎn)發(fā)到一個(gè)預(yù)定的位置，而搜集的信息包含財(cái)務(wù)信息，登錄憑據(jù)，密碼或者都有，這些信息可能被出售在黑市上。AVAST將其命名為MSIL:AgentAKP。AD：InfoStealer是一種木馬，功能為收集受害計(jì)算機(jī)系統(tǒng)用戶(hù)的敏感信息，并將其轉(zhuǎn)發(fā)到一個(gè)預(yù)定的位置，而搜集的信息包含財(cái)務(wù)信息，登錄憑據(jù)，密碼或者都有，這些信息可能被出售在

2、黑市上。AVAST將其命名為MSIL:AgentAKP。下面，我們就來(lái)看看一個(gè)通過(guò)exploitkit(全自動(dòng)攻擊工具)部署在受害者電腦上的惡意.文件。用反編譯器打開(kāi)該文件后，發(fā)現(xiàn)資源中只包含如下干擾圖片：以位圖方式打開(kāi)圖片，一個(gè)像素一個(gè)像素的處理。對(duì)于每個(gè)像素，它并不是非黑即白(ARGB不等于000000000)3種顏色提取并保存在一個(gè)列表中，一個(gè)值接著一個(gè)值，一列接著一列。當(dāng)我們提取出整張列表后，得到如下的結(jié)果。注意MZ標(biāo)識(shí)，正是可

3、執(zhí)行文件的開(kāi)頭：很明顯，我們正在對(duì)付一個(gè)obfuscat(混淆器)，它從位圖中轉(zhuǎn)換數(shù)據(jù)，構(gòu)造可執(zhí)行文件。單單的查看這個(gè)位圖文件，并不能立即意識(shí)到它還存儲(chǔ)著可執(zhí)行文件。對(duì)照BITMAPINFOHEADER和它的bitHeight項(xiàng)，我們可以看到它的值是0X134。根據(jù)文檔，如果biHeight是正值，相應(yīng)的位圖就是自底而上的DIB(與設(shè)備無(wú)關(guān)的位圖)，它的起始點(diǎn)在較低的靠左的位置。下圖展示了這個(gè)可執(zhí)行文件的前9個(gè)字符是如何隱藏在位圖中的。

4、一個(gè)像素包含3個(gè)字符，隨后的下一列是下一組3字符(自底高山美人茶而上)。我們發(fā)現(xiàn)紅色標(biāo)識(shí)的字符正是可執(zhí)行文件的MZ特征：4D5A90000300000004。仔細(xì)觀察PayloadPayload從位圖中被提取出來(lái)，原始文件有兩個(gè)位圖，其中一個(gè)解析后是用.寫(xiě)的加載器，裝載進(jìn)內(nèi)存并執(zhí)行第二個(gè)二進(jìn)制文件。第一個(gè)二進(jìn)制文件通過(guò)修改zone.identifier來(lái)修改數(shù)據(jù)流。硬盤(pán)上的任何文件都或有無(wú)被賦予了:zo瑪瑙ne:identifier的數(shù)

5、據(jù)流，它包含了這個(gè)原始文件的zone信息。如果文件來(lái)自Inter，它的zone值是3如果來(lái)自本地，zone值就是0。這里的惡意文件試圖將zone值設(shè)為2，表明是URLZONE_TRUSTED。%sFTPCommer%sFTPCommerDeluxeFtplist.txt它同樣可以修改注冊(cè)表項(xiàng)：注冊(cè)表項(xiàng)[HKEY_LOCAL_MACHINESoftwareJavaSoftJavaPluginversionUseJava2IExpler]的

6、種類(lèi)是REG_DWD，設(shè)置成0的意思就是禁用JAVA設(shè)置成1的意思就是啟用JAVA。注冊(cè)表項(xiàng)[HKEY_CURRENT_USERSoftwareAdobeAcrobatReaderversionPrivilegedbProtectedMode]的種類(lèi)是REG_DWD，設(shè)置成0就是禁用設(shè)置成1就是啟用。(木馬)作者力求保留將來(lái)再次感染該系統(tǒng)的可能。一旦用戶(hù)再次登錄exploitkit，感染將再次發(fā)生。InfoStealer同時(shí)也向作者報(bào)告

7、被入侵電腦上安裝的一些軟件，通過(guò)判斷是否存在如下的文件、目錄或者注冊(cè)表鍵值：SoftwareValveSteamjagexcacheSOFTWAREBlizzardEntertainment.minecraftLeagueofLegendsSoftwareSkype例如，jagexcache的出現(xiàn)表明在線(xiàn)游戲RuneScape.minecraft表明Minecraft注冊(cè)表鍵值SOFTWAREBlizzardEntertainment或

8、者SoftwareValveSteam告訴我們或許機(jī)器上安裝著這來(lái)自這些游戲廠(chǎng)商的游戲。Leagueoflegends和SoftwareSkype這些字符不言自明。InfoStealer禁用了一些系統(tǒng)服務(wù)。Wuauserv就是WindowsUpdateservicewscsvc就是SecurityCenter，mpssvc就是WindowsFirewall，BITS是BackgroundIntelligentTransferServic

9、e。它也擁有洪水攻擊目標(biāo)服務(wù)器的能力。當(dāng)我們?cè)噲D搜尋上面提及的命令時(shí)，我們發(fā)現(xiàn)了一個(gè)地下論壇，如下描述：通過(guò)向[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]下添加AudioDriver32值，就能達(dá)到永遠(yuǎn)存在的效果，即使機(jī)器重啟。InfoStealer木馬通過(guò)展示如下的錯(cuò)誤信息提示窗的聰明方式來(lái)迷惑用戶(hù)，使其可以提升權(quán)限運(yùn)行。無(wú)論點(diǎn)Restefiles還是Restefilescheckdi