黑暗幽灵(DCM)木马详细分析:只要插上网线/连上WIFI就感染

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
查看查看213 回复回复2 收藏收藏1 分享淘帖 转播转播 分享分享1 微信
查看: 213|回复: 2
收起左侧

黑暗幽灵(DCM)木马详细分析:只要插上网线/连上WIFI就感染

[复制链接]
i0n1c 发表于 2016-6-9 18:02:05 | 显示全部楼层 |阅读模式
快来登录
获取优质的苹果资讯内容
收藏热门的iOS等技术干货
拷贝下载Swift Demo源代码
订阅梳理好了的知识点专辑

黑暗幽灵(DCM)木马详细分析 1

黑暗幽灵(DCM)木马详细分析:只要插上网线/连上WIFI就感染 - 敏捷大拇指 - 黑暗幽灵(DCM)木马详细分析 1





1、背景

只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:

1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。

2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。

3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。

4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。

5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。




2、木马行为概述



2.1、来源与传播途径

经过对大量受感染用户的分析,我们发现该木马来源于不安全的网络,无任何系统漏洞的机器只要连接到这些网络后,在一段时间后会感染木马,经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时,更新包被替换成木马,导致电脑被入侵。木马传播示意图如图1所示。

黑暗幽灵(DCM)木马详细分析 2

黑暗幽灵(DCM)木马详细分析:只要插上网线/连上WIFI就感染 - 敏捷大拇指 - 黑暗幽灵(DCM)木马详细分析 2

图1. 木马主要传播途径示意图



2.2、木马安装流程

木马运行后会判断本机安装的安全软件,会检测多达43款安全相关软件,当检测到不同的安全软件后,执行不同的安装方式,以实现绕过安全软件的检测和拦截。经分析发现该木马主要有三种不同的安装方式,木马最终安装启动的方式为将核心dll释放到explorer同目录下,对其进行dll劫持启动。如图2中三种颜色分别代表三种不同的安装方式,经测试该木马能够绕过当前绝大部分安全软件的防御和拦截最终成功安装。

黑暗幽灵(DCM)木马详细分析 3

黑暗幽灵(DCM)木马详细分析:只要插上网线/连上WIFI就感染 - 敏捷大拇指 - 黑暗幽灵(DCM)木马详细分析 3

图2. 木马安装流程示意图



2.3、木马功能分解

该木马主要功能是窃取计算机各种信息,通过插件监控监听各种常用聊天软件的语音文字聊天信息,接受指令进行简单的远程操控,将自动化收集到的各种信息文件打包发送。如图3所示为木马功能一览。

黑暗幽灵(DCM)木马详细分析 4

黑暗幽灵(DCM)木马详细分析:只要插上网线/连上WIFI就感染 - 敏捷大拇指 - 黑暗幽灵(DCM)木马详细分析 4

图3. 木马功能一览



2.4、木马网络通信

该木马的网络通信方式与木马的传播方式相呼应,木马将收集到的各种信息打包成文件,随后将其加密并封装成DNS请求包,并将这些数据包发送到国内几大知名网站服务器。这样的通讯方式可以绕过几乎所有的防火墙、入侵检测产品,然而黑客如何取得这些数据包从而获得窃取的数据呢?经分析发现其封装的DNS数据包都有着相同且固定的数据包头,因此我们推测黑客会在数据包必经之路上对数据包进行拦截转发到黑客服务器,从而获得收集到的信息,如图4所示为推测出的木马通讯数据包投递流程