黑暗幽靈（DCM）木馬詳細分析

0x00 背景

---

只要插上網線或連上WIFI，無需任何操作，不一會兒電腦就被木馬感染了，這可能嗎？近期，騰訊反病毒實驗室攔截到一個“黑暗幽靈”木馬的新變種，該木馬功能強大，行為詭異，本文將對其進行詳細分析，以下是該木馬的主要特點：

木馬功能強大，主要以信息情報收集為主，能夠監控監聽大量的聊天軟件，收集網絡訪問記錄、監控Gmail、截取屏幕、監控麥克風和攝像頭等。
木馬對抗性強，能夠繞過幾乎全部的安全軟件主動防御，重點對抗國內安全軟件，能夠調用安全軟件自身的接口將木馬加入白名單，作者投入了大量的精力逆向研究安全軟件。
木馬感染方式特別，通過網絡劫持進行感染，主要劫持主流軟件的自動更新程序，當這些軟件聯網下載更新程序時在網絡上用木馬替換，導致用戶無感中毒。
木馬通訊方式特別，木馬將數據封裝成固定包頭的DNS協議包，發送到大型網站來實現數據傳輸，此方法可以繞過幾乎全部的防火墻，但是黑客要截取這些數據，必須在數據包的必經之路上進行嗅探攔截，結合木馬的感染方式，可以推測出在受害者網絡鏈路上存在劫持。
木馬攻擊范圍較小，針對性強，且持續時間長達數年，符合APT攻擊的特性。

0x01 木馬行為概述

---

1.1 來源與傳播途徑

經過對大量受感染用戶的分析，我們發現該木馬來源于不安全的網絡，無任何系統漏洞的機器只要連接到這些網絡后，在一段時間后會感染木馬，經分析發現木馬主要通過在網絡上劫持替換大量軟件的自動更新程序進而感染電腦。當安裝在電腦上的軟件進行自動更新時，更新包被替換成木馬，導致電腦被入侵。木馬傳播示意圖如圖1所示。

圖1. 木馬主要傳播途徑示意圖

1.2 木馬安裝流程

木馬運行后會判斷本機安裝的安全軟件，會檢測多達43款安全相關軟件，當檢測到不同的安全軟件后，執行不同的安裝方式，以實現繞過安全軟件的檢測和攔截。經分析發現該木馬主要有三種不同的安裝方式，木馬最終安裝啟動的方式為將核心dll釋放到explorer同目錄下，對其進行dll劫持啟動。如圖2中三種顏色分別代表三種不同的安裝方式，經測試該木馬能夠繞過當前絕大部分安全軟件的防御和攔截最終成功安裝。

[7][8][9]

圖2. 木馬安裝流程示意圖

1.3木馬功能分解

該木馬主要功能是竊取計算機各種信息，通過插件監控監聽各種常用聊天軟件的語音文字聊天信息，接受指令進行簡單的遠程操控，將自動化收集到的各種信息文件打包發送。如圖3所示為木馬功能一覽。

圖3. 木馬功能一覽

1.4 木馬網絡通信

該木馬的網絡通信方式與木馬的傳播方式相呼應，木馬將收集到的各種信息打包成文件，隨后將其加密并封裝成DNS請求包，并將這些數據包發送到國內幾大知名網站服務器。這樣的通訊方式可以繞過幾乎所有的防火墻、入侵檢測產品，然而黑客如何取得這些數據包從而獲得竊取的數據呢？經分析發現其封裝的DNS數據包都有著相同且固定的數據包頭，因此我們推測黑客會在數據包必經之路上對數據包進行攔截轉發到黑客服務器，從而獲得收集到的信息，如圖4所示為推測出的木馬通訊數據包投遞流程。

圖4.木馬網絡通訊方式推測

0x02 木馬詳細分析

---

2.1 安裝釋放

2.1.1母體結構

該木馬的母體程序為一個exe可執行文件，通過網絡劫持正常軟件的更新程序而被下載執行，該文件中包含5個資源文件，均為簡單加密的PE文件，其中141為x86版核心dll、142為lsp劫持dll、146為x64版核心dll、150為白加黑黑文件，151為白加黑白文件，以下將詳細分析。

圖5. 母體資源信息

2.1.2 適應多種系統，不同系統不同行為

判斷操作系統

[7][8][9]

版本，設置全局變量，隨后將根據該全局變了進行大量的不同操作。

圖6. 判斷操作系統版本并設置標志

2.1.3 利用系統漏洞提權

判斷當前系統是否為vista、win7、win8等，如果是則檢測當前進程是否具有管理員權限，如果沒有該木馬會嘗試通過CVE-2015-0057將自身提升為管理員權限。該漏洞影響win7、win8等多種版本操作系統。

圖7. 木馬利用CVE-2015-0057漏洞提權

2.1.4 對explorer進行dll劫持

通過注冊表檢測本機安裝的安全軟件，當目標系統沒有安裝安全軟件時，木馬將根據操作系統釋放劫持dll到%windir%目錄下對explorer進行劫持啟動，在xp等系統下木馬釋放ntshrui.dll、在win7等系統釋放msls32.dll，在win8等系統釋放AduioSes.dll。隨后啟動一個新的explorer進程加載核心dll開始工作，此為第一種安裝方式。

圖8. 木馬通過釋放dll到explorer同目錄進行劫持啟動

2.2 對抗安全軟件

2.2.1 暫存核心文件

如果檢測到趨勢等國際安全軟件而又未檢測到國內主流安全軟件時，木馬會將核心dll釋放到%CommonProgramfiles%的一個子目錄下，暫時存放。

圖9. 暫時存放核心dll

2.2.2 釋放dll并安裝lsp

同時釋放lsp劫持dll，并添加lsp，通過lsp，該dll可以注入到所有具有網絡連接的進程中。在注入的進程中進行dll文件的移動，從而繞過安全軟件，此為第二種安裝方式。

[7][8][9]

圖10. 釋放lsp劫持dll

圖11. 安裝lsp

2.2.3 釋放白加黑對抗殺軟

當存在國內主流安全軟件時，木馬為了繞過針對lsp安裝的攔截使用了白加黑技術

圖12. 木馬釋放白加黑兩個文件，準備繞過主防

2.2.4 通過白加黑安裝lsp過主防

木馬通過白加黑技術，并加以一系列復雜技巧繞過主動防御實現安裝lsp，經測試大部分安全軟件的主動防御均被繞過。

圖13. 通過白加黑繞過主防安裝lsp

2.2.5 繞過殺軟對explorer進行dll劫持

安裝lsp后，相關dll便以lsp劫持的方式插入到所有聯網進程中，包括svchost、瀏覽器、聊天軟件、安全軟件等。Dll加載后首先判斷當前進程，符合條件則將之前備份的核心dll移動到%windir%目錄進行劫持（重啟后移動）。此為第三種安裝方式。

圖14. 將核心dll移動到%windir%目錄進行劫持

2.2.6 加載核心dll

隨后木馬判斷自身是否位于ie、svchost、殺軟等進程，以進行不同的行為，同時嘗試直接加載核心dll（如果沒加載，劫持需要等系統重啟后核心dll才會被加載）

[7][8][9]

圖15. 根據當前進程名決定是否立即加載核心dll

2.2.7 惡意操作殺軟白名單，免殺

木馬判斷自身是否位于各種安全軟件進程中，如果是則調用安全軟件自身接口進行白名單添加，會將所有木馬文件路勁添加到殺軟白名單中。經測試，涉及到的安全軟件均能正常添加白名單。

圖16. 某安全軟件白名單添加相關代碼

2.2.8 lsp阻止安全軟件聯網，阻斷云查

通過lsp過濾函數對WSPSend、WSPSendTo函數進行過濾，當判斷發包者是安全軟件進程則直接關閉連接，阻止聯網，阻斷云查

圖17. 阻止安全軟件聯網云查

2.3 信息收集

2.3.1 收集網卡信息

收集的網卡信息包括網卡型號、網卡mac、網關ip、網關mac等

圖18. 通過發送arp包獲取網關mac地址

2.3.2 收集系統安裝的軟件列表

木馬通過注冊表Uninstall獲取計算機安裝的軟件列表信息，將獲取的信息異或0x87后寫入到C:WINDOWSTemp{E53B9A13-F4C6-4d78-9755-65C029E88F02}soft.prog文件中，以下獲取的信息無特殊說明都位于該目錄下

[7][8][9]

圖25. 安裝鉤子

圖26. 只記錄指定瀏覽器進程的鍵盤輸入

2.3.8 收集gmail信息

在記錄鍵盤時，當判斷以上瀏覽器窗口中含有Gmail字符時，會啟動一個線程專門收集Gmail信息，會加載相關插件，嘗試通過Imap協議下載服務器上的所有文件

圖27. 判斷是否正在登錄gmail

圖28. 通過插件嘗試通過IMAP協議收集數據

2.3.8 加載插件收集各種IM相關信息

通過進程名判斷skype.exe、cc.exe、raidcall.exe、yy.exe、aliim.exe等即時聊天、語音聊天軟件，加載相關插件對此類聊天軟件進行監聽監控。

圖29. 根據im軟件進程名加載相關插件

圖30. 通過插件的接口可猜測相關插件主要用于監控聊天信息

圖31. 木馬針對所有常見通訊軟件均做了監控

[7][8][9]

2.4、網絡通訊

2.4.1通訊協議

此木馬最詭異的地方的通訊方式，該木馬沒有C&C服務器，所有的數據均偽裝成DNS包發送到www.baidu.com、www.sina.com、www.163.com域名所在服務器的53端口或者8000端口。黑客要想獲取這些數據包，必須在數據包從本地計算機到這些網站服務器的必經之路上進行劫持嗅探。

圖32. 木馬的數據包均發送到www.sina.com等服務器上

圖33. 木馬使用udp協議通訊，目標端口為53或者8000

圖34. 木馬偽裝成DNS協議數據包，每個包都有固定的包頭作為標記

圖35.嵌入到DNS協議中的木馬數據，及時專業的網絡管理員，也難發現異常

2.4.2 自動上傳收集到的文件

所有木馬自動收集的文件，木馬插件生成的文件都會被定時打包編號并發送出去

圖36. 定時讀取相關文件，打包編號發送出去，發送成功后會刪除先關文件

2.4.2 遠程控制

木馬還會綁定本地一個udp端口，并不斷嘗試收取指令，進行遠程控制，主要的遠程控制功能包括cmdshell、文件管理、插件管理等。

圖37.綁定本地一個udp端口

[7][8][9]

圖38. 不斷嘗試收取控制指令

圖39. 遠控功能

0x03 木馬信息

---

3.1安全軟件

木馬檢測多大43款安全軟件，涵蓋了多內全部的安全產品及國外較有名的安全產品，從安全軟件來看，該木馬主要針對國內用戶

圖50. 木馬檢測的安全軟件列表

3.2 其它信息

從木馬的互斥體、調試信息等可看出DCM應該是該木馬的代號，但是什么的縮寫的？這個還真猜不出來

圖51. 木馬中的字符串信息

0x04 安全建議

---

軟件廠商：下載更新程序盡量使用https等安全加密的通訊協議，對下載回來的文件在加載運行前一定要做簽名校驗。

用戶：盡量不要使用安全性未知的網絡上網，如公共WIFI、酒店網絡等，如果懷疑自己的網絡有問題，及時與運營商反應。此外安裝安全軟件可在一定程度上防御此類攻擊，目前管家已率先查殺該木馬及其變種。

[7][8][9]

總結

以上是生活随笔為你收集整理的黑暗幽灵（DCM）木马详细分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。